🔐 Cyber Security Daily News | 26.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. 📰 NEWS
Aktualizacja kampanii Checkmarx supply chain: złośliwe obrazy Docker i rozszerzenia VS Code powiązane z tym samym atakiem co Bitwarden CLI
CySecurity News opisuje nowe szczegóły trwającej kampanii supply chain powiązanej z atakiem na infrastrukturę Checkmarx. Badacze ujawnili, że ta sama operacja obejmuje nie tylko złośliwą wersję Bitwarden CLI — atakujący rozmieścili też zmodyfikowane obrazy Docker i rozszerzenia VS Code, które kradle dane uwierzytelniające deweloperów przy każdym uruchomieniu kontenera lub zainstalowaniu rozszerzenia. Celem jest jak najszersze pokrycie środowisk CI/CD — programista może zostać skompromitowany przez dowolny z tych wektorów bez wiedzy, że jego narzędzia pracy zostały zatrute. Wszystkie środowiska korzystające z narzędzi Checkmarx powinny być pilnie zweryfikowane pod kątem wskaźników kompromitacji opublikowanych przez Socket Security.
Źródło: CySecurity News [EN]
Luka CVE-2026-3844 w wtyczce Breeze Cache dla WordPress — aktywna eksploatacja zagraża ponad 400 tysiącom witryn
Security Affairs opisuje aktywną eksploatację podatności CVE-2026-3844 w popularnej wtyczce WordPress Breeze Cache — narzędziu do optymalizacji wydajności stron. Luka umożliwia nieautoryzowanemu atakującemu przesłanie złośliwych plików na serwer, co prowadzi do przejęcia kontroli nad witryną. Breeze Cache jest szczególnie popularny wśród użytkowników hostingu Cloudways. Przy ponad 400 tysiącach aktywnych instalacji skala potencjalnego zagrożenia jest ogromna — jeden masowo eksploitowany plugin może zmienić setki tysięcy legalnych stron w platformy do dystrybucji malware lub phishingu. Administratorzy powinni pilnie zaktualizować wtyczkę lub tymczasowo ją wyłączyć.
Źródło: Security Affairs [EN]
CRN: pięć największych wyzwań bezpieczeństwa aplikacji — API i AI na czele listy zagrożeń
CRN opisuje wyniki raportu Futurum Group wskazującego, że bezpieczeństwo API oraz zarządzanie agentami i modelami AI to dwa największe wyzwania dla bezpieczeństwa aplikacji w 2026 roku. W miarę jak aplikacje stają się coraz bardziej zdecentryzowane, API łączące komponenty stają się głównymi punktami ataku — a tradycyjne narzędzia bezpieczeństwa często nie zapewniają wymaganej widoczności w środowiskach konteneryzowanych i pipelines CI/CD. AI z jednej strony pomaga wykrywać podatności (jak Claude Mythos), z drugiej obniża próg wejścia dla przestępców. Raport podkreśla konieczność integracji bezpieczeństwa z całym cyklem życia aplikacji — a nie traktowania go jako oddzielnego, końcowego kroku.
Źródło: CRN.pl [PL]
2. 🚨 INCYDENTY
ADT potwierdza naruszenie danych po groźbie wycieku przez ShinyHunters
ADT — jeden z największych dostawców systemów alarmowych w USA obsługujący miliony domów i firm — potwierdził naruszenie danych osobowych klientów po tym, jak grupa ShinyHunters opublikowała próbkę wykradzionych informacji jako dowód włamania. To kolejny w ostatnich tygodniach cel tej samej grupy, która wcześniej zaatakowała Rockstar Games, Komisję Europejską i ogłosiła atak na Carnival Corporation. Dane z systemu alarmowego są szczególnie wrażliwe — ujawniają wzorce obecności mieszkańców w domu, co może ułatwiać planowanie włamań fizycznych. Klienci ADT powinni zachować czujność wobec phishingu opartego na wiedzy o ich historii usług.
Źródło: BleepingComputer [EN]
Atak na Galerię Uffizi we Florencji jako ostrzeżenie dla europejskiego sektora kultury
CySecurity News opisuje niedawny incydent cybernetyczny wymierzony w Galerię Uffizi — jedno z najsłynniejszych muzeów na świecie. Atak dotknął systemy administracyjne instytucji i jest traktowany przez ekspertów jako sygnał alarmowy dla całego europejskiego sektora kultury. Muzea, galerie i instytucje dziedzictwa kulturowego często przechowują ogromne bazy danych klientów (rezerwacje, płatności, dane darczyńców) i dane badawcze — przy jednoczesnym drastycznym niedoinwestowaniu w cyberbezpieczeństwo w porównaniu do sektora komercyjnego. Sektor kultury jest coraz częściej celem grup ransomware właśnie dlatego, że presja na przywrócenie dostępu do cyfrowych zbiorów jest bardzo wysoka.
Źródło: CySecurity News [EN]
Cyberatak zakłócił pracę administracji hrabstwa Winona w USA — systemy ratownicze i sądowe bez dostępu
CySecurity News informuje o cyberataku na infrastrukturę IT hrabstwa Winona w stanie Minnesota, który zakłócił działanie systemów używanych przez służby ratownicze, administrację sądową i urzędy publiczne. Tego rodzaju ataki na administrację lokalną są szczególnie groźne, bo dotykają infrastruktury, na której bezpośrednio zależy życie i bezpieczeństwo mieszkańców — od dysponowania policją po dostęp do rejestrów metrykalnych. Małe jednostki administracji terytorialnej są częstymi ofiarami ransomware właśnie dlatego, że dysponują ograniczonymi budżetami IT, a presja na szybkie przywrócenie systemów jest ogromna.
Źródło: CySecurity News [EN]
3. 💡 CIEKAWOSTKI
Badacze odkryli malware „fast16" starszy od Stuxneta, powiązany z napięciami USA-Iran przed 2010 rokiem
The Hacker News i SecurityWeek opisują odkrycie przez badaczy z Claroty złośliwego oprogramowania o nazwie fast16, które atakuje oprogramowanie inżynierskie do projektowania systemów przemysłowych i jest datowane na okres przed słynnym Stuxnetem (2010). fast16 celował konkretnie w oprogramowanie używane przez irańskie zakłady wzbogacania uranu i miał utrudniać jego pracę bez pozostawiania śladów. Odkrycie potwierdza, że cyberoperacje na poziomie państwowym przeciwko irańskiemu programowi nuklearnemu były znacznie starsze i bardziej złożone niż wcześniej sądzono. To ważny kontekst historyczny dla zrozumienia, jak rozwinęły się zdolności ofensywne w cyberprzestrzeni, które dziś obserwujemy w globalnych konfliktach.
Źródło: The Hacker News [EN]
Podsłuchiwanie przez kable światłowodowe — technika szpiegowska coraz realniejsza dzięki analizie wibracji
Kaspersky Blog opisuje mało znany, ale coraz groźniejszy wektor szpiegostwa: podsłuchiwanie rozmów i dźwięków z otoczenia przez analitykę wibracji na kablach światłowodowych. Dźwięki otoczenia powodują minimalne wibracje powierzchni, na których leżą kable — zaawansowana analiza sygnału optycznego może wyodrębnić z tych wibracji informacje o prowadzonych rozmowach. Metoda nie wymaga fizycznego dostępu do chronionego pomieszczenia — wystarczy dostęp do odcinka kabla w pobliżu. To szczególnie istotne dla organizacji z wymaganiami TEMPEST (ochrona przed emisją elektromagnetyczną) i instytucji dyplomatycznych. Artykuł podsumowuje aktualny stan badań i praktyczne implikacje dla zarządzania ryzykiem fizycznym infrastruktury IT.
Źródło: Kaspersky Blog [EN]
ESET: ekosystem ransomware RaaS nie jest monolitem — co widać, to nie wszystko
WeLiveSecurity (ESET) publikuje analizę ewolucji modelu Ransomware-as-a-Service. Wbrew powszechnemu przekonaniu, że RaaS to prosty model „operatorzy + afilianci", rzeczywistość jest znacznie bardziej złożona: wielowarstwowe łańcuchy podzlecania, wyspecjalizowane role (brokerzy dostępu, testerzy obejść EDR, eksperci od negocjacji), a nawet wewnętrzne mechanizmy jakości usług i rozwiązywania sporów. Artykuł opisuje też, jak „spokojny okres" przed atakiem ransomware — gdy atakujący przez tygodnie lub miesiące przebywa w sieci ofiary bez szyfrowania — jest najcenniejszą fazą całej operacji, umożliwiającą mapowanie infrastruktury i niszczenie kopii zapasowych przed uderzeniem.
Źródło: WeLiveSecurity (ESET) [EN]
4. 🎣 OSZUSTWA, SCAMY, EXPLOITY
Sekurak alarmuje: świeże oszustwo na „odzyskanie środków z Zondacrypto" dostarcza malware przez fałszywy DocuSign
Sekurak opisuje nową kampanię wymierzoną w ofiary wcześniejszych oszustw na giełdzie kryptowalutowej Zondacrypto — to klasyczny scam wtórny, czyli „recovery scam". Ofiara, która już straciła pieniądze, otrzymuje e-mail z adresu recovery@zondanewsletter[.]pl informujący o „Umowie Odzyskiwania Aktywów" z groźbą utraty „priorytetowego statusu" jeśli nie podpisze dokumentu w terminie. Link prowadzi do domeny zondarecoverydocument[.]com, gdzie do pobrania jest plik exe podszywający się pod instalator DocuSign — faktycznie malware. Obie domeny zostały zarejestrowane dosłownie chwilę przed rozesłaniem wiadomości. Osoby, które już zostały oszukane przez Zondacrypto, są szczególnie podatne na ten schemat — desperacja i nadzieja na odzyskanie pieniędzy wyłączają krytyczne myślenie.
Źródło: Sekurak [PL]
Nowa odmiana ClickFix ukrywa się w natywnych narzędziach Windows, by ominąć systemy bezpieczeństwa
HackRead opisuje ewolucję techniki ClickFix — kampanii nakłaniających ofiary do samodzielnego wklejania złośliwych poleceń w terminalu Windows. Nowy wariant zamiast otwierać okno CMD lub PowerShell używa wbudowanych narzędzi systemowych Windows, takich jak Windows Script Host (wscript.exe) i narzędzi diagnostycznych, które są z natury dopuszczane przez większość polityk bezpieczeństwa korporacyjnego. Złośliwy ładunek jest sekwencją pozornie niewinnych wywołań systemowych, których łączny efekt to pobranie i uruchomienie malware. Każda strona prosząca o „weryfikację" przez skopiowanie czegokolwiek do narzędzi systemowych Windows to bez wyjątku próba ataku.
Źródło: HackRead [EN]
Fałszywe strony CAPTCHA wyłudzają kliknięcia i generują kosztowne SMS-y na numery premium
HackRead opisuje nową odmianę oszustwa CAPTCHA: spreparowane strony w trakcie pozornej weryfikacji „nie jestem robotem" subskrybują ofiarę na kosztowne usługi SMS premium przez WAP billing — technologię pozwalającą na naliczenie opłaty przez operatora komórkowego po samym kliknięciu na stronie webowej, bez podawania numeru telefonu. Ofiara często nie dowiaduje się o subskrypcji przez długi czas, dopóki nie zauważy podejrzanych pozycji na rachunku telefonicznym. Kampanie są szczególnie aktywne w krajach rozwijających się, ale docierają też do Europy przez serwisy mobilne z luźnymi politykami WAP billing. Warto regularnie sprawdzać zestawienie usług dodatkowych u swojego operatora.
Źródło: HackRead [EN]
5. 🌐 DEZINFORMACJA, CYBER WOJNA
CyberMagazyn: oskarżenia USA o kradzież AI przez Chiny pogłębiają napięcia technologiczne między mocarstwami
CyberDefence24 analizuje eskalację konfliktu technologicznego między USA a Chinami wokół oskarżeń o kradzież modeli językowych. Biały Dom rozważa traktowanie tzw. „destylacji modeli" — procesu trenowania tańszych modeli AI na wynikach droższych modeli zachodnich — jako naruszenia własności intelektualnej i zagrożenia bezpieczeństwa narodowego. Chińska firma DeepSeek jest wprost wskazywana jako podmiot stosujący tę praktykę na masową skalę z użyciem API OpenAI i Anthropic. Napięcia wokół AI wykraczają poza klasyczny cyberszpiegostwo — dotykają fundamentalnej kwestii, kto będzie kontrolował najbardziej strategiczne technologie przyszłej dekady i jak zachodnie demokracje mają chronić własność intelektualną w globalnie dostępnym ekosystemie AI.
Źródło: CyberDefence24 [PL]
Microsoft ostrzega przed atakami powiązanych z Rosją routerów eskalującymi do naruszeń usług chmurowych
CySecurity News opisuje ostrzeżenie Microsoftu dotyczące nowego wzorca ataków powiązanych z rosyjską grupą APT: hakerzy, którzy uzyskali dostęp do sieci przez zhakowane routery domowe lub SOHO, nie poprzestają już na zbieraniu danych lokalnych. Zamiast tego używają skompromitowanego urządzenia jako przyczółka do ataku na konta usług chmurowych (Microsoft 365, Azure) pracowników, których ruch przechodzi przez ten router. Jeśli pracownik loguje się do M365 przez domowy router będący pod kontrolą atakujących, możliwe jest przechwycenie tokenów uwierzytelniających. To rozszerzenie wcześniej opisywanej techniki APT28 na szerszy krąg grup i celów — domowy router to teraz punkt wejścia do korporacyjnej chmury.
Źródło: CySecurity News [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 25 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.