Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
25 grudnia 2025
1. NEWS
Raport Socket.dev 2025: Oprogramowanie Open Source polem minowym
Najnowszy raport podsumowujący rok 2025 w ekosystemie Open Source rzuca ponure światło na bezpieczeństwo łańcucha dostaw oprogramowania. Analitycy wskazują na drastyczny wzrost liczby złośliwych paczek w popularnych rejestrach, które nie są już tylko dziełem amatorów, ale wyrafinowanych grup przestępczych. Destrukcyjne malware, koparki kryptowalut i tylne furtki zaszyte w kodzie, z którego korzystają miliony deweloperów, stały się nową normalnością. Raport podkreśla, że tradycyjne skanery podatności często nie wykrywają tych zagrożeń, ponieważ złośliwy kod jest sprytnie maskowany lub aktywowany z opóźnieniem. To sygnał dla firm, by weryfikować każdą zewnętrzną zależność, a nie ufać ślepo społeczności.
Źródło: Socket.dev [EN]
Północnokoreański BeaverTail atakuje sektor finansowy
Sektor finansowy znów znalazł się na celowniku grup powiązanych z reżimem w Pjongjangu, które wykorzystują złośliwe oprogramowanie BeaverTail. Malware ten jest dystrybuowany poprzez fałszywe oferty pracy i rekrutację w mediach społecznościowych, celując w pracowników banków i fintechów. BeaverTail potrafi wykradać dane z przeglądarek, portfele kryptowalutowe oraz sesje komunikatorów, działając po cichu w tle zainfekowanych systemów. Ataki te są częścią szerszej kampanii mającej na celu pozyskiwanie funduszy dla Korei Północnej, omijając międzynarodowe sankcje. Instytucje finansowe muszą wzmocnić szkolenia pracowników z zakresu socjotechniki, bo to człowiek pozostaje najsłabszym ogniwem.
Źródło: SC World [EN]
Krytyczna luka RCE w Livewire – zdalne wykonanie kodu
Badacze z Synacktiv ujawnili szczegóły dotyczące poważnej podatności w frameworku Livewire, która umożliwia zdalne wykonanie kodu (RCE) poprzez mechanizm unmarshalingu danych. Atakujący może wykorzystać tę lukę, manipulując danymi przesyłanymi do aplikacji, co w konsekwencji pozwala na przejęcie kontroli nad serwerem. Problem dotyczy aplikacji webowych, które nieprawidłowo walidują dane wejściowe użytkownika przed ich przetworzeniem. Administratorzy i programiści korzystający z Livewire powinni niezwłocznie zapoznać się z biuletynem bezpieczeństwa i wdrożyć odpowiednie łatki lub mechanizmy mitygacji.
Źródło: Synacktiv [EN]
2. INCYDENTY
56 tysięcy pobrań malware'u kradnącego wiadomości z WhatsApp
W repozytorium NPM odkryto złośliwą paczkę, która została pobrana ponad 56 tysięcy razy, zanim została usunięta. Z pozoru niewinna biblioteka zawierała kod, którego głównym celem było wykradanie sesji i wiadomości z komunikatora WhatsApp (zarówno w wersji webowej, jak i desktopowej). Atak ten pokazuje, jak szeroki zasięg mogą mieć ataki na łańcuch dostaw – jeden zainfekowany komponent może skompromitować tysiące projektów i ich użytkowników. To kolejne ostrzeżenie dla deweloperów, by audytować kod, który importują do swoich aplikacji, zamiast polegać wyłącznie na statystykach popularności paczki.
Źródło: Koi.ai [EN]
MacSync: Nowy złodziej na macOS z ważnym podpisem
Użytkownicy komputerów Apple nie mogą spać spokojnie – wykryto nowe złośliwe oprogramowanie typu infostealer o nazwie MacSync. Co gorsza, malware ten wykorzystuje ważne podpisy cyfrowe deweloperów, co pozwala mu omijać wbudowane w macOS zabezpieczenia Gatekeeper, które zazwyczaj blokują niezweryfikowane aplikacje. Szkodnik maskuje się jako legalne narzędzie, a po uruchomieniu wykrada dane logowania, pliki cookie i informacje z portfeli krypto. To dowód na to, że rynek złośliwego oprogramowania na platformę Apple dynamicznie się rozwija, a same certyfikaty nie są gwarancją bezpieczeństwa.
Źródło: The Hacker News [EN]
Rekordowy tydzień luk w systemach przemysłowych (ICS)
Firma Cyble donosi o rekordowej liczbie nowych podatności wykrytych w systemach sterowania przemysłowego (ICS) w ciągu zaledwie jednego tygodnia. Luki te dotyczą kluczowych komponentów infrastruktury krytycznej, w tym systemów energetycznych i produkcyjnych, co stwarza realne ryzyko sabotażu lub szpiegostwa przemysłowego. Wzrost liczby zgłoszeń może wynikać z większego zainteresowania badaczy tym sektorem, ale też z faktu, że systemy OT są coraz częściej podłączane do sieci, co eksponuje ich stare błędy. Operatorzy infrastruktury muszą przyspieszyć procesy patchowania, co w środowisku przemysłowym jest zadaniem niezwykle trudnym.
Źródło: Cyble [EN]
3. CIEKAWOSTKI
Czarny ekran w telefonie: Awaria czy atak hakerski?
McAfee opublikowało przydatny poradnik, jak odróżnić fizyczną usterkę wyświetlacza smartfona od objawów przejęcia urządzenia przez hakerów. Często złośliwe oprogramowanie typu RAT (Remote Access Trojan) może powodować, że ekran wydaje się wyłączony lub zniekształcony, podczas gdy w tle odbywa się kradzież danych. Artykuł podpowiada, na jakie subtelne sygnały zwracać uwagę – takie jak przegrzewanie się urządzenia, szybkie zużycie baterii czy dziwne dźwięki – aby zdiagnozować problem. To cenna wiedza dla każdego użytkownika, który kiedykolwiek zastanawiał się, dlaczego jego telefon "żyje własnym życiem".
Źródło: McAfee [EN]
ChatGPT goni konkurencję – nowe modele na horyzoncie
Antyweb analizuje dynamiczny wyścig zbrojeń w świecie sztucznej inteligencji, wskazując, że OpenAI przygotowuje się do wypuszczenia nowych modeli, które mają zniwelować dystans do rosnącej konkurencji. W obliczu premier od Google i innych graczy, ChatGPT musi ewoluować, oferując lepsze rozumowanie, mniejszą liczbę halucynacji i szybsze działanie. Artykuł spekuluje na temat nowych funkcji, które mogą zmienić sposób, w jaki pracujemy z asystentami AI w 2026 roku. Dla branży security oznacza to nowe wyzwania związane z weryfikacją treści i ochroną przed deepfake'ami.
Źródło: Antyweb [PL]
4. OSZUSTWA, SCAMY, EXPOITY
Kampania Amadey: GitLab jako magazyn dla złodzieja
Badacze bezpieczeństwa odkryli nową kampanię dystrybucji malware'u Amadey, która w sprytny sposób wykorzystuje serwery GitLab do pobierania kolejnych złośliwych ładunków, w tym stealera o nazwie Stealc. Użycie legalnej infrastruktury deweloperskiej pozwala przestępcom na ukrycie ruchu sieciowego przed systemami detekcji, które zazwyczaj ufają połączeniom z GitLabem. Infekcja prowadzi do kradzieży danych logowania z przeglądarek i portfeli ofiar. To kolejny przykład taktyki "Living off the Land", gdzie legalne usługi chmurowe stają się narzędziem w rękach cyberprzestępców.
Źródło: SC World [EN]
Nomani – oszustwo inwestycyjne rośnie w siłę
Wykryto gwałtowny, bo aż 62-procentowy wzrost aktywności kampanii oszustw inwestycyjnych pod nazwą Nomani. Przestępcy tworzą profesjonalnie wyglądające platformy handlowe i aplikacje, kusząc ofiary obietnicą szybkich i wysokich zysków z inwestycji w kryptowaluty lub akcje. Schemat działania jest klasyczny: początkowe małe zyski zachęcają do wpłaty większych kwot, które następnie znikają bezpowrotnie. Wzrost ten świadczy o wysokiej skuteczności socjotechniki stosowanej przez grupę oraz o niesłabnącej chciwości (i naiwności) inwestorów.
Źródło: The Hacker News [EN]
Ubezpieczenie zdrowotne jako wabik – uważaj na scamy
Sezon zapisów na ubezpieczenia zdrowotne (Open Enrollment) to żniwa dla oszustów, którzy masowo tworzą fałszywe strony i rozsyłają phishing. McAfee ostrzega przed telefonami i mailami oferującymi "tańsze plany" lub grożącymi utratą ubezpieczenia w przypadku braku aktualizacji danych. Ofiary, pod presją czasu i strachu o zdrowie, często przekazują wrażliwe dane osobowe i finansowe, które służą później do kradzieży tożsamości medycznej. Weryfikacja źródła każdej oferty ubezpieczeniowej jest w tym okresie absolutnie kluczowa.
Źródło: McAfee [EN]
5. DEZINFORMACJA, CYBER WOJNA
UAT-9686: Nowy gracz na scenie cyberszpiegostwa
Talos Intelligence opublikował szczegółową analizę grupy oznaczanej jako UAT-9686, która prowadzi zaawansowane operacje szpiegowskie. Grupa ta wykorzystuje niestandardowe narzędzia i techniki maskowania, aby infiltrować sieci organizacji o znaczeniu strategicznym. Choć atrybucja wciąż jest badana, cele i metody działania sugerują motywację polityczną lub wywiadowczą, wpisującą się w krajobraz współczesnej cyberwojny. Raport ten jest cennym źródłem IoC (Indicators of Compromise) dla zespołów SOC broniących infrastrukturę krytyczną.
Źródło: Talos Intelligence [EN]
Thierry Breton i aktywiści z zakazem wjazdu do USA?
Serwis Kontrabanda omawia kontrowersyjne doniesienia dotyczące potencjalnych zakazów wjazdu do Stanów Zjednoczonych dla europejskich urzędników i aktywistów cyfrowych, w tym byłego komisarza Thierry'ego Bretona. Sprawa ma tło polityczne i wiąże się z twardym stanowiskiem UE wobec amerykańskich gigantów technologicznych oraz regulacjami takimi jak DSA/DMA. Jeśli doniesienia się potwierdzą, będzie to bezprecedensowe zaostrzenie relacji transatlantyckich na tle regulacji cyfrowych, pokazujące, że cyberpolityka staje się elementem twardej dyplomacji.
Źródło: Kontrabanda [PL]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.
Mnie kwestia zatruwania Open Source martwi - mamy backdoory rządowe w oprogramowaniu własnościowym, przestępców w OS... Jak żyć
Nie wiem, czy życie stanie się łatwiejsze, jeśli powiem Ci, że przestępcy – nawet częściej niż rządy – wykorzystują luki w komercyjnym oprogramowaniu, podczas gdy agencje rządowe chętnie korzystają z niedoskonałości systemów Open Source. Dychotomia między oprogramowaniem komercyjnym a OS to często wybór między różnymi rodzajami ryzyka, a nie między bezpieczeństwem a jego brakiem. Nie ma złotego środka, który byłby panaceum na wszystko. Pozostaje nam jedynie dbanie o cyfrową higienę, co – jak wiadomo – daje tylko złudne poczucie bezpieczeństwa podczas korzystania z dobrodziejstw sieci.
Github jest dziś za duży, ale można by stworzyć system review paczek, bo jak rozumiem problemem nie jest brak możliwości sprawdzenia kodu, tylko, że to kosztuje czas a nie wszystkie projekty mają społeczność wokół nich potrafiącą to zrobić. 🤔 Zdecentralizowany system wynagradzania za review kodu, ale musiałby też być oparty o renomę oraz przewidywać mechanizm sprawdzania czy kod został rzeczywiście sprawdzony.
Aż se zawołam @gtg, żeby sprawdzić czy nie za bardzo halucynuję przy okazji świąt.
No ale coś takiego istnieje, tylko siły są nierówne, podobnie jak w walce z patodeweloperką, bo my musimy wygrywać za każdym razem, a atakujący wystarczy, że wygra raz, a nagroda dla złola jest duża.