Categories

698 stron

Cyberbezpieczeństwo

Błąd w GitHub Action Claude Code pozwolił na przejęcie repozytoriów

Badacz odkrył lukę w GitHub Action Claude Code, która umożliwiała przejęcie repozytoriów poprzez jedno zgłoszenie, co groziło wstrzyknięciem złośliwego kodu.

Odkryto poważny błąd w GitHub Action Claude Code od Anthropic, który pozwalał atakującemu na przejęcie kontroli nad publicznymi repozytoriami poprzez jedno zgłoszenie w GitHub. Luki w mechanizmie autoryzacji i sposób działania funkcji pozwoliły na wstrzyknięcie złośliwego kodu, a w skrajnym przypadku na kradzież tokenów OIDC, co umożliwiło modyfikację kodu i plików workflow.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Biuro Bezpieczeństwa: Zagrożenia AI, Narzędzia C2, Fałszywe Poprawki i Nowe Zagrożenia

Artykuł omawia nowe zagrożenia cybernetyczne: błędy AI, narzędzia C2, ClickFix, backdoor'y JS, SSRF, spyware, keyloggery, sankcje krypto i wiele więcej.

Najnowszy biuletyn ThreatsDay Bulletin zwraca uwagę na narastające zagrożenia w cyberprzestrzeni, w tym błędy w działaniu agentów AI, podejrzane narzędzia Command and Control (C2), oszustwa typu ClickFix wykorzystujące fałszywe poprawki, a także backdoor’y w JavaScript i nowe podatności. Artykuł omawia szczegółowo problemy związane z unauthenticated SSRF w produktach Cisco, operacje szpiegowskie na urządzeniach mobilnych, ataki z użyciem keyloggerów, eskalację sankcji kryptowalutowych wobec Iranu, rozdrobnienie ekosystemu cyberprzestępczości po likwidacji forum XSS, nadużywanie narzędzi RMM, dystrybucję złośliwego oprogramowania przez sieci serwerów, wycieki wrażliwych danych, użycie backdoor’ów JS w kampaniach malspam, dostarczanie malware poprzez smart kontrakty, nadużywanie narzędzi do cloud computingu, wzrost ataków typu data-only extortion, testowanie EDR z pomocą AI,Payloady malware hostowane na Steam, nadużywanie zaufanych narzędzi takich jak FalkonC2, rosnącą liczbę luk wykrywanych dzięki AI, wykorzystanie luki w jądrze Linuksa, dystrybucję malware za pomocą fałszywych narzędzi graficznych, obronę przed kradzieżą sesji dzięki DBSC w Chrome, phishing z wykorzystaniem infrastruktury Adobe, opóźnienia w łagodzeniu zagrożeń w łańcuchu dostaw RubyGems, ataki powiązane z Iranem na cele w Izraelu, ujawnienie systemów zbiorników paliwowych oraz obronę przed fałszywymi połączeniami dzięki weryfikacji RCS, a także analizę błędów agentów AI powodujących szkody organizacyjne.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Grupa TA4922 powiązana z Chinami rozszerza ataki phishingowe na Wielką Brytanię, Niemcy, Włochy i RPA

Chińska grupa TA4922 rozszerza ataki phishingowe na organizacje w Europie i RPA, wykorzystując nowe malware i metody komunikacji. Dowiedz się więcej o zagrożeniach.

Chińska grupa cyberprzestępcza TA4922, znana z “szybkich działań operacyjnych” i ewoluującego arsenału malware, rozszerzyła swoje cele na organizacje w Wielkiej Brytanii, Niemczech, Włoszech i RPA. Ataki, których celem jest głównie zysk finansowy poprzez kradzież danych i oszustwa, wykorzystują kampanie phishingowe z tematyką HR i biznesową, a także przenoszą komunikację na platformy takie jak LINE czy WhatsApp, aby ominąć zabezpieczenia. Grupa używa znanych rodzin RAT-ów (np. ValleyRAT, Atlas RAT) oraz nowych narzędzi, jak RomulusLoader i SilentRunLoader, często dostarczanych poprzez DLL side-loading.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Backdoor FlutterShell rozprzestrzenia się na macOS przez złośliwe reklamy Google i YouTube

Nowy backdoor FlutterShell atakuje użytkowników macOS przez złośliwe reklamy Google i YouTube. Kampania wykorzystuje złośliwe oprogramowanie dystrybuowane jako legalne aplikacje.

Kampania malvertisingowa “Operation FlutterBridge” wykorzystuje złośliwe reklamy Google i YouTube do dystrybucji nowego backdoor’a na macOS, nazwanego FlutterShell. Złośliwe oprogramowanie, zbudowane na frameworku Flutter, nie tylko rozsyła adware, ale także posiada funkcje backdoor, takie jak wykonywanie poleceń systemowych, manipulacja plikami i eksfiltracja zmiennych środowiskowych, a jego budowa pozwala na dynamiczne zmiany w działaniu bez konieczności aktualizacji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Fałszywe strony podszywające się pod narzędzia open-source rankingują wysoko w Google, dostarczając złośliwe oprogramowanie przez TDS

Fałszywe strony podszywające się pod narzędzia open-source rankingują wysoko w Google, dostarczając złośliwe oprogramowanie przez TDS. Poznaj szczegóły tej kampanii.

Cyberbezpieczni badacze odkryli szeroko zakrojoną operację podszywania się pod projekty open-source i freeware, która za pomocą systemu dystrybucji ruchu (TDS) kieruje nieświadomych użytkowników do pobrania rodzin złośliwego oprogramowania, takich jak Remus Stealer, AnimateClipper i SessionGate. Fałszywe strony, często przypominające legalne portale projektów, wykorzystują zaawansowane techniki podszywania się i optymalizacji SEO, aby osiągnąć wysokie pozycje w wynikach wyszukiwania Google, co pozwala na dystrybucję szkodliwego oprogramowania od stycznia 2026 roku.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Hakerzy przez pięć miesięcy szpiegowali skrzynkę e-mail menedżera giełdy

Hakerzy przez 5 miesięcy szpiegowali skrzynkę e-mail menedżera giełdy, kopiując dane przez chmurę. Bezpieczeństwo IT w obliczu zaawansowanych ataków.

Nieznani napastnicy przez co najmniej pięć miesięcy przebywali w skrzynce e-mail znaczącego menedżera globalnej giełdy, kopiując jej zawartość małymi porcjami i przesyłając ją przez Dropbox i OneDrive, aby ruch ten wtapiał się w normalną aktywność w chmurze. Działanie to, wskazujące na szpiegostwo zamiast kradzieży dla zysku, było prowadzone z wykorzystaniem zaawansowanych narzędzi i technik ukrywania, które utrudniają identyfikację sprawców.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Departament Sprawiedliwości USA rozbija sieci oszustw kryptowalutowych w Azji Południowo-Wschodniej, zamraża aktywa warte 3,8 mln dolarów

USA rozbija międzynarodowe grupy oszustów kryptowalutowych w Azji Południowo-Wschodniej, zamrażając 3,8 mln USD w aktywach. Zatrzymano przestępców i zlikwidowano centra oszustw.

Departament Sprawiedliwości USA ogłosił sukces operacji “Disruption Week”, która doprowadziła do wyłączenia milionów kont w mediach społecznościowych i e-mailowych wykorzystywanych przez grupy cyberprzestępcze z Azji Południowo-Wschodniej do oszukiwania Amerykanów, co skutkowało zamrożeniem ponad 3,8 miliona dolarów w kryptowalutach. Celem inicjatywy Scam Center Strike Force jest zwalczanie oszustw “pig butchering” i prania pieniędzy prowadzonych z tych regionów, z udziałem globalnych partnerów prywatnych i publicznych, takich jak Apple, Google, Meta oraz policje z Australii, Kanady i Tajlandii.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Złośliwe powiadomienia mogą przejąć kontrolę nad Google Gemini na Androidzie

Złośliwe powiadomienia mogą przejąć kontrolę nad Google Gemini na Androidzie, co umożliwia manipulację, podszywanie się i zatruwanie pamięci asystenta.

Odkryto nową lukę w zabezpieczeniach Google Gemini na Androida, która pozwala na przejęcie kontroli nad asystentem głosowym za pomocą pozornie niegroźnych powiadomień z popularnych aplikacji jak WhatsApp czy Slack. Atakujący mogą wykorzystać tę metodę do manipulowania interakcjami użytkownika, podszywania się pod inne osoby, a nawet trwałego zatruwania pamięci asystenta, co stanowi poważne zagrożenie dla bezpieczeństwa i prywatności.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Autonomiczne narzędzie AI odkryło 2-letnią lukę RCE w Redis (CVE-2026-23479)

Autonomiczne narzędzie AI wykryło 2-letnią lukę RCE (CVE-2026-23479) w Redis, stanowiącą poważne zagrożenie dla środowisk chmurowych. Radzimy natychmiastową aktualizację.

Autonomiczne narzędzie sztucznej inteligencji zidentyfikowało krytyczną lukę zdalnego wykonania kodu (RCE) oznaczona jako CVE-2026-23479 w popularnej bazie danych Redis, która istniała przez ponad dwa lata od wersji 7.2.0. Wykryta przez Team Xint Code i oceniona jako 8.8 w skali CVSS 3.1, luka umożliwia atakującemu przejęcie pełnej kontroli nad podatnymi serwerami, szczególnie w środowiskach chmurowych, gdzie często brakuje silnych zabezpieczeń uwierzytelniających. Wykorzystanie błędu use-after-free w funkcji unblockClientOnKey() pozwala na manipulację wskaźnikami klientów, doprowadzając do nadpisania wskaźnika funkcji w Global Offset Table i wykonania dowolnego kodu jako komenda systemowa.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

CISA dodaje lukę RCE w Magento CVE-2026-45247 do katalogu KEV

CISA dodaje lukę RCE CVE-2026-45247 w rozszerzeniu Magento Mirasvit Cache Warmer do katalogu KEV z powodu aktywnego wykorzystania.

Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) dodała do swojego katalogu znanych exploitowanych luk (KEV) krytyczną podatność CVE-2026-45247 w rozszerzeniu Mirasvit Cache Warmer dla Magento. Luki tej można wykorzystać do zdalnego wykonania kodu (RCE) poprzez deserializację zaufanych danych w pliku cookie, co wymaga jedynie wysłania spreparowanego obiektu PHP. Zostały wydane łatki, a agencje rządowe mają obowiązek ich wdrożenia do 6 czerwca 2026 roku.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)