Złośliwe Oprogramowanie

Odkryto nowy złośliwy pakiet w rejestrze npm o nazwie “mouse5212-super-formatter”, który wykradł pliki z katalogu użytkownika narzędzia sztucznej inteligencji Claude firmy Anthropic, wysyłając je na konto GitHub kontrolowane przez atakującego. Malware-Slop, jak nazwano kampanię, udawał narzędzie do synchronizacji repozytorium GitHub, wykorzystując tokeny dostępu lub hardkodowane klucze do tworzenia repozytoriów i przesyłania danych, jednocześnie maskując swoje działania fałszywymi logami.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Kampania oprogramowania typu “supply chain attack” pod nazwą Mini Shai-Hulud wykorzystuje skompromitowane konto opiekuna pakietów npm, aby rozpowszechniać złośliwe wersje bibliotek z ekosystemu @antv oraz innych popularnych narzędzi deweloperskich, takich jak echarts-for-react. Atakujący osadza w nich kod kradnący dane uwierzytelniające do różnych usług chmurowych i platform, a następnie wykorzystuje skradzione tokeny do publikowania kolejnych, zainfekowanych wersji, znacząco zwiększając zasięg zagrożenia.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Tydzień przyniósł liczne zagrożenia, w tym aktywnie wykorzystywaną lukę w serwerach Microsoft Exchange, sofisticowany atak na kontrolery Cisco SD-WAN oraz rozległy atak łańcucha dostaw z wykorzystaniem pakietów npm, który spowodował rozprzestrzenianie złośliwego oprogramowania typu stealer. Obserwowano również fałszywe repozytorium na platformie Hugging Face dystrybuujące złośliwe oprogramowanie oraz ugodę między Instructure a grupą ShinyHunters w sprawie wycieku danych. Apple i Google wprowadzają szyfrowanie E2EE dla wiadomości RCS, a nowe narzędzia AI przyspieszają odkrywanie luk, co wymaga wzmożonej uwagi na bezpieczeństwo.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Repozytorium pakietów RubyGems, kluczowe narzędzie dla programistów języka Ruby, tymczasowo wstrzymało możliwość tworzenia nowych kont po odkryciu setek złośliwych pakietów. Incydent, określany jako “poważny złośliwy atak”, spowodował tymczasowe wyłączenie rejestracji w celu zabezpieczenia ekosystemu oprogramowania. Trwają działania mające na celu opanowanie sytuacji i ustalenie sprawców ataku, który wpisuje się w rosnącą falę ataków na łańcuchy dostaw oprogramowania open-source.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Tygodniowy biuletyn “ThreatsDay” omawia nowe zagrożenia cybernetyczne, w tym kampanie kradzieży danych, luki w zabezpieczeniach systemów przemysłowych (ICS) oraz nowe metody dystrybucji złośliwego oprogramowania. Podkreśla również przyspieszenie prac nad poprawkami bezpieczeństwa w związku z rosnącą automatyzacją ataków, a także zastosowanie AI do wykrywania i łagodzenia zagrożeń.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Nowo odkryty atak na łańcuch dostaw DAEMON Tools skompromitował oficjalne instalatory oprogramowania, dystrybuowane z legalnej strony internetowej i podpisane cyfrowymi certyfikatami deweloperów, co pozwoliło na dystrybucję złośliwego ładunku. Od 8 kwietnia 2026 roku zainfekowane są wersje od 12.5.0.2421 do 12.5.0.2434, a zainfekowane komponenty (DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe) aktywują implant po uruchomieniu, pobierając i wykonując dalsze etapy ataku, w tym moduły szpiegujące i backdoor, z potencjalnym wpływem na tysiące użytkowników globalnie, ale z ukierunkowaniem na ograniczoną liczbę celów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

W tygodniowym podsumowaniu bezpieczeństwa dominują tematy wykorzystywania zaufania, takich jak przejmowanie kont przez narzędzia trzecie, podstawianie złośliwego oprogramowania pod zaufane ścieżki pobierania oraz nadużywanie rozszerzeń przeglądarek i kanałów aktualizacji. Ataki stają się bardziej wyrafinowane, polegają na dłuższych cyklach działania, wieloetapowych payloadach i wykorzystaniu realnych narzędzi, z możliwością rozprzestrzeniania się przez łańcuch dostaw.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Grupa przestępcza UAC-0247 przeprowadziła kampanię cyberataków między marcem a kwietniem 2026 roku, której celem były instytucje rządowe i placówki medyczne na Ukrainie, głównie kliniki i szpitale ratunkowe, w celu kradzieży poufnych danych z przeglądarek opartych na Chromium i aplikacji WhatsApp. Ataki inicjowane przez phishingowe e-maile prowadzą do pobrania i uruchomienia złośliwego oprogramowania, które infiltruje systemy, umożliwiając zdalną kontrolę, szpiegowanie i kradzież danych.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Kampania GlassWorm ewoluuje, wykorzystując nowy mechanizm “dropper” napisany w Zig, który potajemnie infekuje wszystkie zintegrowane środowiska programistyczne (IDE) na komputerze dewelopera. Technika ta, odkryta w rozszerzeniu VS Code udającym popularne narzędzie WakaTime, polega na instalacji złośliwego binarnego kodu, który następnie wyszukuje i infekuje inne IDE, pobierając dalsze złośliwe rozszerzenia, wykradając dane i instalując trojany zdalnego dostępu.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Nowy klaster zagrożeń UAT-10362, wykorzystujący złośliwe oprogramowanie LucidRook oparte na języku Lua, prowadzi ukierunkowane kampanie spear-phishingowe przeciwko tajwańskim organizacjom pozarządowym i uniwersytetom. Ataki, odkryte w październiku 2025 roku, polegają na wykorzystaniu archiwów RAR lub 7-Zip do dostarczenia oprogramowania LucidPawn, które następnie uruchamia LucidRook za pomocą techniki DLL side-loading, zbierając informacje systemowe i exfiltrując je do zewnętrznego serwera, a także pobierając zaszyfrowane ładunki Lua.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)