No posts found
Try adjusting your filters or wait for the worker to classify more posts.
🔐 Cyber Security Daily News | 18.03.2026
🔐 Cyber Security Daily News | 18.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Unia Europejska nakłada sankcje na irańskie i chińskie firmy powiązane z cyberatakami
Rada UE objęła sankcjami trzy podmioty odpowiedzialne za głośne operacje cyberszpiegowskie i dezinformacyjne. Irańska firma Emennet Pasargad (działająca też jako „Anzu Team") odpowiada m.in. za próby ingerowania w wybory prezydenckie w USA w 2020 roku, włamanie na listę subskrybentów Charlie Hebdo z wyciekiem danych ponad 200 tys. osób, hakowanie szwedzkiej firmy SMS po spaleniu Koranu, a także sabotaż tablic reklamowych podczas Olimpiady w Paryżu w 2024 roku. Chińska Integrity Technology Group — znana jako zaplecze grupy Flax Typhoon — odpowiada za stworzenie botnetu złożonego z ponad 65 600 urządzeń IoT w sześciu państwach UE. Trzeci podmiot, Anxun Information Technology (i-Soon), był prywatną firmą świadczącą usługi hakerskie na zamówienie chińskich służb — w tym kradzieży danych z infrastruktury krytycznej państw UE. To najszerszy pakiet sankcji cybernetycznych, jaki Bruksela ogłosiła w tym roku.
Źródło: The Register [EN] | BleepingComputer [EN]
Nowy wariant ClickFix omija blokady: Win+X i Windows Terminal zamiast klasycznego Win+R
Analitycy z Microsoft Defender udokumentowali ewolucję jednej z najpopularniejszych technik dystrybucji malware. Dotychczas ClickFix skłaniał ofiary do otwierania okna Uruchom (Win+R) i wklejania złośliwego polecenia. Teraz cyberprzestępcy przestawili się na kombinację Win+X, a następnie klawisz „I", który otwiera Windows Terminal — aplikację wyglądającą bardziej technicznie i wzbudzającą mniej podejrzeń u mniej doświadczonych użytkowników. Złośliwy payload, zaciemniony algorytmem XOR, jest automatycznie kopiowany do schowka przez skrypt JS na spreparowanej stronie. Po wklejeniu i zatwierdzeniu go w terminalu instalowany jest infostealer Lumma, który wstrzykuje się do procesów przeglądarek (Chrome, Edge) i w tle wykrada hasła, tokeny sesji i dane kart płatniczych. Zmiany w technice oznaczają, że dotychczasowe szkolenia pracowników z ostrzeżeniem „nie używaj Win+R" są już niewystarczające.
Źródło: Sekurak.pl [PL]
UOKiK wdroży AI do wykrywania nieuczciwych praktyk w sklepach internetowych
Urząd Ochrony Konkurencji i Konsumentów ogłosił, że wdroży systemy sztucznej inteligencji do monitorowania e-commerce pod kątem manipulacyjnych technik sprzedażowych i nielegalnego profilowania cenowego. Narzędzia mają automatycznie wykrywać tzw. dark patterns — techniki zaprojektowane tak, by zmusić konsumentów do nieświadomych zakupów lub utrudnić rezygnację z subskrypcji. Adobe niedawno zapłaciło ugodę Departamentowi Sprawiedliwości USA właśnie za trudne do anulowania subskrypcje — podobnych przypadków UOKiK chce uniknąć na polskim rynku. Równolegle Instalki.pl informuje, że pod lupę mają trafić sklepy stosujące dynamiczne wycenianie bazujące na danych użytkownika. Wdrożenie AI do nadzoru nad handlem elektronicznym to jeden z priorytetów regulacyjnych UOKiK na 2026 rok.
Źródło: Instalki.pl [PL] | CRN.pl [PL]
2. INCYDENTY
Cyberatak na sieć Factory Outlet — dane klientów polskich centrów handlowych mogły zostać przejęte
Wszystkie pięć polskich centrów outletowych Factory (Warszawa Ursus i Annopol, Kraków, Poznań, Gliwice) opublikowało 10 marca oficjalne komunikaty o incydencie bezpieczeństwa. Nieuprawniona osoba uzyskała dostęp do części systemów i pobrała ograniczony zestaw plików. Wśród potencjalnie naruszonych danych wymieniono m.in. dane podstawowe i kontaktowe, CV, dane zdrowotne związane ze zdarzeniami wypadkowymi na terenie centrów oraz wizerunek i numery dokumentów tożsamości. Incydent może dotyczyć klientów, najemców, dostawców i pracowników. Factory zapewnia, że podjęło działania naprawcze i współpracuje z organami ochrony danych. Osobom potencjalnie dotkniętym przez incydent zalecamy zastrzeżenie numeru PESEL, zmianę haseł i czujność wobec prób phishingu.
Źródło: CyberDefence24 [PL]
Złośliwa paczka w NuGet podszywała się pod oficjalną bibliotekę Stripe — kradła klucze API
Badacze z ReversingLabs odkryli w repozytorium pakietów .NET (NuGet) złośliwą paczkę StripeApi.Net, która niemal identycznie udawała oficjalną bibliotekę Stripe.net pobieraną ponad 70 milionów razy. Atak był klasycznym typosquattingiem — różnica w nazwie to tylko myślnik zamiast kropki. Złośliwy kod działał identycznie jak oryginał pod kątem funkcji, lecz przy inicjalizacji klienta Stripe cicho wykradał token API i wysyłał go na zewnętrzną bazę Supabase. Posiadając klucz API Stripe, atakujący uzyskuje dostęp do danych klientów, płatności i subskrypcji zarządzanych przez to konto. Paczka miała sztucznie zawyżone liczniki pobrań (suma z ponad 500 wersji), by wyglądać wiarygodnie. Badacze ustalili, że żadne realne klucze nie zostały wykradzione — paczka była stosunkowo szybko usunięta. Przypomnienie: zawsze weryfikujcie nazwy instalowanych pakietów i używajcie osobnych poświadczeń do środowisk testowych.
Źródło: Sekurak.pl [PL]
Globalne phishingi przez LiveChat: przestępcy podszywają się pod Amazon i PayPal
Dark Reading i HackRead opisują rosnącą falę kampanii phishingowych opartych na okienkach LiveChat wbudowanych w spreparowane strony. Ofiara trafia na pozornie prawdziwą stronę wsparcia Amazon lub PayPal, gdzie otwiera się okienko czatu z „agentem" — w rzeczywistości to bot lub żywy oszust. Po kilku wymianach użytkownik jest proszony o „weryfikację konta" poprzez podanie danych karty, numeru SSN lub kodu weryfikacyjnego. Technika jest szczególnie niebezpieczna, bo wbudowane widżety czatu wyglądają identycznie jak te na prawdziwych stronach i nie wzbudzają takich samych podejrzeń jak e-mail. Badacze odnotowują rosnące wyrafinowanie kampanii — część chatbotów poprawnie odpowiada na pytania dotyczące historii zamówień, co sugeruje wcześniejsze wykradanie danych z kont ofiar. Nigdy nie podawaj danych karty w czacie.
Źródło: Dark Reading [EN] | HackRead [EN]
3. CIEKAWOSTKI
Nowa technika ukrywa złośliwe polecenia przed narzędziami AI poprzez manipulację czcionkami
BleepingComputer opisuje niepokojącą metodę polegającą na używaniu specjalnych czcionek i znaków Unicode do ukrywania złośliwych instrukcji przed systemami AI, które mają oceniać bezpieczeństwo kodu lub dokumentów. Atakujący formułują tekst, który dla człowieka i standardowego antyvirusa wygląda niewinnie, ale po renderowaniu przez przeglądarkę lub narzędzie AI ujawnia inne polecenia. To atak na rosnącą kategorię „AI security tools" — czyli narzędzi używających modeli językowych do analizy bezpieczeństwa. Implikacje są poważne: treści przesyłane do systemów AI jako załączniki, dokumenty czy code review mogą zawierać instrukcje prompt injection niewidoczne dla tradycyjnych filtrów. Technika jest szczególnie groźna w środowiskach korporacyjnych, gdzie AI coraz częściej asystuje przy przeglądaniu kodu i dokumentów.
Źródło: BleepingComputer [EN]
Koreańska policja przypadkowo opublikowała hasło do portfela kryptowalutowego w materiale prasowym
Bruce Schneier przytacza kuriozalny incydent z Korei Południowej, gdzie funkcjonariusze policji podczas konferencji prasowej dotyczącej przejętych środków kryptowalutowych przypadkowo ujawnili hasło do portfela zawierającego skonfiskowane aktywa. W tle materiału wideo, na laptopie używanym przez policję, widoczne było hasło — a nagranie przez jakiś czas było publicznie dostępne. Choć portfel nie został opróżniony (policja prawdopodobnie zdążyła zareagować), incydent jest podręcznikowym przykładem tzw. operational security failure (OPSEC) — sytuacji, gdy dane poufne nieumyślnie trafiają do przestrzeni publicznej. Podobne wpadki zdarzają się regularnie: widoczne karteczki z hasłami za politykami, klucze SSH w tle zdjęć deweloperów. Hasła i klucze należy traktować jak własne dane osobowe — zawsze poza zasięgiem kamer.
Źródło: Schneier on Security [EN]
Kto stoi za dezinformacją? Eksperci omawiają metody atrybucji kampanii informacyjnych
CyberDefence24 opublikował obszerny materiał omawiający, jak analitycy i służby wywiadowcze identyfikują podmioty stojące za kampaniami dezinformacyjnymi. Atrybucja — czyli przypisanie odpowiedzialności za konkretny atak informacyjny — jest znacznie trudniejsza niż w przypadku cyberataków technicznych, bo nie istnieją odpowiedniki adresów IP czy logów serwerów. Eksperci korzystają z analizy lingwistycznej (style i błędy charakterystyczne dla danego języka lub dialektu), metadanych zdjęć i grafik, timingów publikacji (kampanie produkowane w określonych strefach czasowych), infrastruktury sieciowej (domeny, hosting) i wzorców amplifikacji (które konta wzmacniają treści jako pierwsze). Materiał omawia konkretne narzędzia i techniki stosowane m.in. przez EU DisinfoLab i EUvsDisinfo. W dobie rosnącej aktywności prorosyjskich kampanii to wiedza coraz bardziej potrzebna każdemu, kto pracuje z mediami.
Źródło: CyberDefence24 [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
LeakNet ransomware łączy technikę ClickFix z runtime Deno w nowej kampanii wymuszeniowej
Dark Reading opisuje nową rodzinę ransomware o nazwie LeakNet, która wyróżnia się na tle konkurencji podwójnie ciekawą architekturą. Po pierwsze, do infekcji używa ClickFix (ta sama technika co Lumma Stealer, ale w nowej odsłonie opisywanej przez Sekurak). Po drugie, do uruchamiania złośliwego kodu zamiast standardowych środowisk Node.js lub PowerShell wykorzystuje środowisko Deno — stosunkowo nowy runtime dla JavaScript/TypeScript. Deno jest mniej rozpoznawany przez systemy EDR niż Node.js czy PowerShell, co utrudnia wykrycie. LeakNet stosuje model podwójnego wymuszenia: szyfruje dane i grozi ich publikacją na stronie Tor. Kampania jest aktywna od początku marca 2026 i dotknęła już kilkanaście firm w Europie i Ameryce Północnej. Wskaźniki kompromitacji (IOC) są dostępne w raporcie.
Źródło: BleepingComputer [EN]
CursorJack: nowa klasa ataków pozwala złośliwym plikom manipulować edytorami kodu AI
Infosecurity Magazine opisuje technikę CursorJack, która uderza w popularne edytory kodu wspierane przez AI — takie jak Cursor czy Windsurf. Atakujący umieszcza spreparowane pliki (np. README lub pliki konfiguracyjne), które zawierają ukryte instrukcje prompt injection. Gdy programista otworzy plik w edytorze AI i poprosi o pomoc, model językowy zamiast normalnej asysty może m.in. zaproponować złośliwy kod, wysłać dane z projektu na zewnętrzny serwer lub zmodyfikować logikę aplikacji w subtelny sposób trudny do wykrycia. To szczególnie niebezpieczne przy pracy z kodem open source lub repozytoriami od zewnętrznych dostawców — jeden złośliwy commit może skompromitować cały pipeline deweloperski. Twórcy Cursor potwierdzili świadomość problemu i pracują nad zabezpieczeniami.
Źródło: Infosecurity Magazine [EN]
Fałszywe narzędzia AI o nazwie Claude dystrybuują malware na macOS
HackRead opisuje kampanię, w której cyberprzestępcy tworzą fałszywe narzędzia programistyczne podszywające się pod AI asystenta Claude od Anthropic, a następnie dystrybuują je przez repozytoria GitHub i fora deweloperskie. Instalacja tak spreparowanego „narzędzia" na macOS instaluje backdoor MacSync, który daje atakującemu zdalny dostęp do systemu, kradnie klucze SSH i tokeny API przechowywane lokalnie. Kampania celuje w deweloperów pracujących z AI — czyli grupę o stosunkowo wysokich uprawnieniach i dostępie do wrażliwych systemów firmowych. Fałszywe narzędzia mają przekonujące opisy, gwiazdki i fałszywe komentarze od nieistniejących użytkowników. Instalując jakiekolwiek narzędzie z GitHub, zawsze weryfikuj tożsamość autora i sprawdzaj histogramm aktywności repozytorium.
Źródło: HackRead [EN]
5. DEZINFORMACJA, CYBER WOJNA
Chiński APT CL-STA-1087 od 2020 roku atakuje zdolności wojskowe Azji Południowo-Wschodniej
Security Affairs i SecurityWeek opisują długofalową operację chińskiej grupy APT oznaczanej jako CL-STA-1087, która od co najmniej 2020 roku prowadzi ukryte działania szpiegowskie wymierzone w wojsko i rządy krajów Azji Południowo-Wschodniej. Atakujący stosują metody „living off the land" — do swoich działań używają wyłącznie legalnych narzędzi systemowych i administracyjnych, co sprawia że ich aktywność jest niemal nieodróżnialna od normalnej pracy IT. Grupa skupia się na kradzieży planów zakupów zbrojeniowych, szczegółów dotyczących ćwiczeń wojskowych i danych o zdolnościach obronnych sojuszników USA w regionie. Dark Reading podkreśla, że ta sama grupa była powiązana z atakami na dostawców usług zarządzanych (MSP) używanych przez armie regionu — co oznacza atak przez zaufanych partnerów technologicznych zamiast bezpośredni atak na cel. Operacja trwała latami bez wykrycia, co podkreśla wysoką dojrzałość grupy.
Źródło: Security Affairs [EN] | SecurityWeek [EN] | Dark Reading [EN]
Konwergencja działań kinetycznych, cybernetycznych i psychologicznych w wojnie z Iranem
Resecurity opublikował obszerną analizę tego, jak konflikt z Iranem przekształcił się w pierwszy w historii pełnowymiarowy przykład skoordynowanej wojny hybrydowej — łączącej jednocześnie operacje militarne, cybernetyczne, dezinformacyjne i zakłócanie infrastruktury elektronicznej. Raport dokumentuje m.in. jak irańskie grupy APT (MuddyWater, OilRig) przeszły w tryb intensywnych operacji ofensywnych wobec infrastruktury zachodniej równocześnie z atakami kinetycznymi. Jednocześnie proirańska propaganda w mediach społecznościowych nasiliła się wielokrotnie, wypełniając przestrzeń informacyjną narracjami o niesprawiedliwości zachodnich działań. Badacze Resecurity ostrzegają, że modele operacyjne wypracowane w tym konflikcie będą kopiowane przez inne podmioty państwowe — Rosję, Koreę Północną i Chiny — które pilnie obserwują, co się sprawdza. Przyszłe kryzysy geopolityczne będą miały cyfrowy wymiar od pierwszego dnia.
Źródło: Resecurity [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 16 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.
Comments