Cyberbezpieczeństwo

Badacze bezpieczeństwa wykryli nową kampanię szkodliwego oprogramowania, która wykorzystuje przejęte pakiety npm do rozpowszechniania robaka samoreplikującego się i kradzieży poufnych danych deweloperów, takich jak tokeny npm, klucze SSH i dane uwierzytelniające do chmur, a także rozszerza swój zasięg na ekosystem PyPI. W ramach tej taktyki złośliwe wersje pakietów są publikowane w repozytoriach, a skradzione dane są eksfiltrowane do specjalnych zasobników ICP, co zwiększa odporność infrastruktury na działania obronne. Kampania ta stanowi poważne zagrożenie dla bezpieczeństwa całego ekosystemu open-source.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) nie otrzymała dostępu do najnowszego modelu AI Mythos od Anthropic, mimo że inne agencje rządowe USA i NSA korzystają z niego do wykrywania luk w zabezpieczeniach. Doniesienia te sugerują, że CISA, kluczowa instytucja odpowiedzialna za koordynację cyberbezpieczeństwa, może być niedoceniana przez administrację, co stawia pod znakiem zapytania bezpieczeństwo cyfrowe kraju.

Źródło: The Verge
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Zidentyfikowano nową wersję backdooru GoGra dla systemu Linux, stworzoną przez grupę Harvester, która jest wykorzystywana w atakach skierowanych prawdopodobnie w Azji Południowej. Malware nadużywa legalnego API Microsoft Graph i skrzynek pocztowych Outlook jako kanału dowodzenia i kontroli (C2), co pozwala mu omijać tradycyjne zabezpieczenia sieciowe.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Badacze cyberbezpieczeństwa odkryli nowy niszczycielski program typu data wiper, nazwany Lotus Wiper, który na przełomie 2025 i 2026 roku atakował sektor energetyczny w Wenezueli. Złośliwe oprogramowanie wymazuje mechanizmy odzyskiwania danych, nadpisuje zawartość dysków fizycznych i systematycznie usuwa pliki, pozostawiając systemy w stanie nieoperacyjnym, bez żadnych żądań okupu, co sugeruje motywację inną niż finansową.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Artykuł analizuje problem tzw. „toksycznych kombinacji”, czyli sytuacji, w których połączenie uprawnień wielu aplikacji, często za pośrednictwem agentów AI lub integracji, tworzy nieautoryzowane ryzyko, niewidoczne dla pojedynczych właścicieli systemów. Przykład Moltbook pokazuje, jak ujawnienie tokenów API i danych logowania może wynikać z braku przeglądu złożonych zależności między aplikacjami, co standardowe przeglądy bezpieczeństwa często pomijają.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Microsoft wydał pilną aktualizację usuwającą poważną lukę bezpieczeństwa CVE-2026-40372 w ASP.NET Core, która pozwala atakującemu na podniesienie uprawnień do poziomu SYSTEM, o ile aplikacja działa na systemach innych niż Windows i korzysta z konkretnych wersji biblioteki Microsoft.AspNetCore.DataProtection. Wykorzystując ten błąd, atakujący może podmienić dane uwierzytelniające, pliki cookie czy tokeny, uzyskując dostęp do wrażliwych informacji i modyfikując dane, co może skutkować autoryzacją jako uprzywilejowany użytkownik.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Badacze cyberbezpieczeństwa odkryli nową odmianę znanego złośliwego oprogramowania LOTUSLITE, które jest dystrybuowane poprzez motywy związane z indyjskim sektorem bankowym. Oprogramowanie to, rozwijane przez grupę powiązaną z Chinami, cechuje się możliwością zdalnego dostępu do systemu, zarządzania plikami i sesjami, co wskazuje na ukierunkowanie na szpiegostwo. Poza Indiami, zidentyfikowano również działania wymierzone w osoby z kręgów politycznych i dyplomatycznych Korei Południowej oraz Stanów Zjednoczonych, co świadczy o rozszerzaniu celów grupy.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Krytyczna podatność w narzędziu Terrarium od Cohere AI, śledzona jako CVE-2026-5752, umożliwia atakującemu wykonanie kodu z uprawnieniami roota wewnątrz kontenera poprzez wykorzystanie traversalu łańcucha prototypów JavaScript w środowisku Pyodide. Skuteczne wykorzystanie tej luki pozwala na ucieczkę z piaskownicy, dostęp do wrażliwych plików i potencjalnie dalsze eskalacje uprawnień, przy czym atak wymaga lokalnego dostępu, ale nie interakcji użytkownika. Ze względu na brak aktywnego utrzymania projektu, łatka jest mało prawdopodobna, a zalecane środki zaradcze obejmują wyłączenie funkcji podsyłania kodu, segmentację sieci, użycie WAF i monitorowanie aktywności kontenera.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Norwegia alarmuje o możliwej operacji rozpoznawczej rosyjskiej “floty cieni”, po tym jak tankowiec “Apple” przez osiem godzin utrzymywał pozycję nad podmorskim kablem prowadzącym do strategicznej stacji radarowej Globus. Wojskowi twierdzą, że mimo deklaracji o awarii napędu, aktywne pędniki boczne pozwoliły jednostce na precyzyjne mapowanie infrastruktury krytycznej NATO, co może stanowić próbę blokady i sabotażu.

Źródło: Polsat News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Badacze zidentyfikowali 22 nowe podatności w konwerterach serial-to-IP od Lantronix i Silex, umożliwiające przejęcie kontroli nad urządzeniami i manipulację danymi, co stanowi poważne zagrożenie dla systemów przemysłowych i krytycznej infrastruktury. Nazwane collectively BRIDGE:BREAK luki dotyczą zarówno zdalnego wykonania kodu, obejścia uwierzytelniania, jak i manipulacji firmware’em, a zidentyfikowano blisko 20 000 narażonych urządzeń globalnie.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)