Malware

Złośliwi aktorzy wykorzystują krytyczną, załataną już lukę w FortiClient Endpoint Management Server (EMS), aby dostarczać złośliwe oprogramowanie kradnące dane uwierzytelniające, maskując je jako aktualizacje systemowe i wykorzystując do tego celu PowerShell oraz legalne pliki wykonywalne FortiClient. Po udanym włamaniu modyfikowane są konfiguracje w celu ukrycia aktualizacji i umożliwienia zdalnego wykonywania poleceń na zarządzanych punktach końcowych, co pozwala na szerokie żniwo wrażliwych danych, takich jak hasła i dane kart kredytowych, z przeglądarek Chromium i Gecko.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Nowa kampania zagrożeń o nazwie JINX-0164 wykorzystuje inżynierię społeczną opartą na rekrutacji i złośliwe oprogramowanie na macOS, aby ukraść aktywa cyfrowe z firm kryptowalutowych. Zagrożenie polega na podszywaniu się pod rekruterów na LinkedIn, nakłanianiu ofiar do pobrania fałszywego klienta spotkań, który instaluje infostealera i trojana zdalnego dostępu AUDIOFIX, a także używa backdoor MiniRAT dystrybuowanego przez zainfekowane pakiety npm, aby przejmować dane, przemieszczać się w sieci i modyfikować kod źródłowy w celu kradzieży kryptowalut.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Międzynarodowa współpraca CrowdStrike, Google i Shadowserver Foundation doprowadziła do zneutralizowania wszystkich kanałów dowodzenia i kontroli (C2) związanych z kampanią GlassWorm, która od wczesnego 2025 roku systematycznie atakowała deweloperów oprogramowania poprzez zainfekowane pakiety i rozszerzenia. Złośliwe oprogramowanie, wykorzystując m.in. blockchain Solana, BitTorrent DHT i Google Calendar do utrzymania odpornej infrastruktury, miało na celu kradzież danych, tokenów i potencjalnie zatruwanie repozytoriów kodu.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Microsoft ostrzega przed kampanią kryptojackingu wykorzystującą interakcje z chatbotami AI do dystrybucji złośliwego oprogramowania, podszywającego się pod popularne narzędzia systemowe i sprzętowe, w celu zwiększenia zysków z kopania kryptowalut przy użyciu wydajnych kart graficznych. Zagrożenie to rozszerza tradycyjny inżynieringu społeczny poza wyniki wyszukiwania, prowadząc do instalacji oprogramowania takich jak ScreenConnect, które umożliwia zdalny dostęp, kradzież danych lub ransomware, a także zawiera mechanizmy zapewniające trwałość infekcji i maskowanie obecności przed oprogramowaniem antywirusowym.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Grupa Lazarus, powiązana z Koreą Północną, wykorzystuje nowy, wieloplatformowy malware o nazwie RemotePE do ataków na organizacje finansowe i kryptowalutowe. Ten działający wyłącznie w pamięci trojan zdalnego dostępu jest częścią wieloetapowego łańcucha ataku, obejmującego dwie ładowarki (DPAPILoader i RemotePELoader), które mają na celu ominięcie wykrywania i zapewnienie długoterminowego, dyskretnego dostępu.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Kampania ataku łańcucha dostaw o nazwie TrapDoor zaatakowała jednocześnie ekosystemy npm, PyPI i Crates.io, dystrybuując ponad 34 złośliwe pakiety mające na celu kradzież danych uwierzytelniających programistów, portfeli kryptowalutowych i kluczy SSH. Atak wykorzystuje zróżnicowane ścieżki dystrybucji, w tym złośliwe skrypty uruchamiane podczas instalacji lub importu, a nawet podstępnie próbuje oszukać asystentów AI poprzez ukryte instrukcje w plikach projektu.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Osiem pakietów na platformie Packagist zostało zainfekowanych w skoordynowanej kampanii ataków na łańcuch dostaw, wykorzystującej złośliwy kod do pobierania i uruchamiania binarnego pliku z repozytorium GitHub. Choć dotyczy to pakietów Composer, złośliwy kod został umieszczony w pliku package.json, atakując projekty łączące narzędzia JavaScript z kodem PHP, co utrudnia wykrycie przez skanery zależności PHP. Złośliwe wersje zostały już usunięte, a mechanizm ataku obejmował tworzenie skryptów postinstall do pobierania i wykonywania plików binarnych Linux w tle, co stanowi znaczące zagrożenie nawet bez analizy samego payloadu.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

INTERPOL skoordynował pierwszą tego typu operację przeciwko cyberprzestępczości w regionie Bliskiego Wschodu i Afryki Północnej (MENA), która doprowadziła do aresztowania 201 osób i zidentyfikowania 382 podejrzanych. Działania, prowadzone między październikiem 2025 a lutym 2026 roku przez 13 krajów, skupiły się na neutralizacji zagrożeń phishingowych i malware, a także zwalczaniu oszustw internetowych, które powodują znaczące straty finansowe w regionie. W ramach operacji zlikwidowano infrastrukturę phishingową, aresztowano sprawców i zidentyfikowano 3867 ofiar, zabezpieczając przy tym 53 serwery, w tym serwer phishing-as-a-service (PhaaS) z Algierii oraz sprzęt zawierający dane bankowe z Maroka.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Badacze bezpieczeństwa wykryli cztery nowe pakiety npm zawierające złośliwe oprogramowanie kradnące informacje, w tym klon robaka Shai-Hulud. Jeden z pakietów dostarcza botnet DDoS Phantom Bot, podczas gdy pozostałe trzy kradną dane uwierzytelniające i informacje systemowe, co sygnalizuje nasilającą się falę ataków na łańcuch dostaw.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

OpenAI potwierdziło, że dwa urządzenia jego pracowników ucierpiały w wyniku ataku łańcucha dostaw TanStack (Mini Shai-Hulud), co doprowadziło do nieautoryzowanego dostępu do ograniczonych repozytoriów kodu i wycieku danych uwierzytelniających, nie naruszając jednak danych użytkowników ani systemów produkcyjnych. W rezultacie wymagane są aktualizacje aplikacji macOS, takich jak ChatGPT Desktop, aby zapobiec dystrybucji fałszywych programów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)