W biegu

Platformy Discord zapewne nie trzeba nikomu przedstawiać. Każdy uczestnik Sekurak.Academy doskonale ją zna i chętnie prowadzi dyskusje za jej pośrednictwem. Choć pierwotnie platforma powstała jako bezpłatna aplikacji do komunikacji tekstowej, głosowej i wideo, skupiająca głównie środowisko graczy. Dzisiaj korzystają z niej miliony ludzi na całym świecie – od programistów, administratorów,…

Badacze bezpieczeństwa z EclecticIQ alarmują o trwającej kampanii cyberprzestępczej, wycelowanej głównie w programistów szukających instalatorów GeminiCLI oraz Claude Code. Atakujący używają techniki SEO poisoning (zatruwanie wyników wyszukiwania), aby pozycjonować fałszywe domeny nad oficjalnymi witrynami. Strony perfekcyjnie odzwierciedlają autentyczne witryny instalacyjne poszczególnych agentów. Jednak w pakiecie, oprócz instalacji samego agenta, użytkownik…

28 maja Tomek Turba poprowadził bezpłatne szkolenia (odbyły się dwie sesje, o godz. 10:00 i o godz. 19:00) Podstawy OSINT i OPSEC. 10 błędów, których NIE WYPADA popełniać.  Oba spotkania cieszyły się ogromnym zainteresowaniem – podczas porannej sesji na żywo oglądało nas jednocześnie ponad 1300 osób na YouTube, Facebooku i…

Wszyscy już wiemy, że w kwietniu weszła jedna z najważniejszych zmian regulacyjnych ostatnich lat w obszarze cyberbezpieczeństwa w Polsce – nowelizacja ustawy KSC2, implementująca unijną dyrektywę NIS2.   Kilkadziesiąt tysięcy podmiotów w Polsce stanęło przed następującymi pytaniami: Jeśli zadajesz sobie te pytania – zapewniamy Cię, że nie jesteś sam. Odpowiedzi na…

Informując w marcu o podatności prompt injection w GitHub Codespaces, napisaliśmy że będą pojawiać się kolejne luki. Jak się okazało, wcale nie trzeba było długo czekać. Badacze z Hacktron odkryli podatność prompt injection w GitHub Copilot (działającym w ramach Agent Mode). Tryb ten może zostać użyty w ramach issues, gdzie…

Badacze z SafeDep wykryli zautomatyzowaną kampanię – nazwaną megalodon – w ramach której wypchnięto ponad 5,7 tysięcy złośliwych commitów w ponad 5,5 tysiącach repozytoriów na GitHub. Całość zajęła ~6 godzin. Korzystając z jednorazowych kont atakujący wstrzyknęli złośliwe workflow GitHub Actions zawierające zakodowane w base64 payloady (bash), które wykradają sekrety CI,…

Badacze z XLab wykryli kampanię wymierzoną w strony wykorzystujące Ghost CMS. Atakujący wykorzystał podatność SQL injection (CVE-2026-26980) do uzyskania klucza API, a następnie użył go do masowego modyfikowania treści, wstrzykując złośliwy kod JavaScript. TLDR: Chociaż podatność CVE-2026-26980 została publicznie ujawniona już 19 lutego, wiele stron nie zostało załatanych, co stworzyło…

Badacze bezpieczeństwa z Microsoft zidentyfikowali złośliwą kampanię w ekosystemie pakietów npm. 28 maja 2026 roku pojedynczy użytkownik vpmdhaj (a39155771@gmail[.]com) opublikował 14 złośliwych pakietów w ciągu 4 godzin. Pakiety te podszywają się pod biblioteki OpenSearch i ElasticSearch, oraz narzędzia do konfiguracji środowiska. TLDR: Wszystkie paczki w ramach kampanii dostarczają ten sam…

Rich Communication Services (RCS) to forma komunikacji będąca połączeniem SMS-ów i komunikatorów internetowych – wiadomości tekstowe wysyłane są przez internet, zamiast przez standardową sieć operatora. Możliwe jest także przesyłanie załączników. Aby skorzystać z RCS, musi wspierać je nasz operator, ale w Polsce robi to większość dużych telekomów. TLDR: Dotychczas wiadomości…

Jeśli w jakikolwiek sposób bierzesz udział w zapewnieniu zgodności Twojej firmy / instytucji z NIS2/KSC2 – to szkolenie jest prawdopodobnie dla Ciebie. Budując program, postawiliśmy na praktykę – posłuchasz więc nie tylko o ważnych wymogach prawnych, ale zobaczysz, jak to wszystko wygląda w praktyce. Nie zaskoczy Cię żaden audyt :-)…

Powoli upada przekonanie, że dyplom z informatyki jest jedyną przepustką do świata technologii. Branża IT, jak żadna inna, wypracowała bowiem mechanizmy weryfikacji kompetencji, nierzadko ponad formalne wykształcenie. Dziś liczy się pasja, chęć rozwoju, konkretne umiejętności miękkie i umiejętności praktyczne, które przecież nabyć można na szkoleniach, kursach, webinarach czy podczas samodzielnej…

Cała Polska już kojarzy panią radną z Radomia, która przypadkiem wrzuciła na fejsa prywatną prośbę do marszałka o posadę w radzie nadzorczej szpitala… dla męża mechanika samochodowego. Zdecydowanie wpadka aspirująca do miana klasyka. Niedawno doszła “specjalistka” od AI, która w Rzeszowie próbowała wyłudzić zwrot za pizzę z salami. Zdjęcie przerobiła…

Capital Pizza Rzeszów informuje Jedna z Pań zamówiła dwie pizze z salami, po czym postanowiła zgłosić do portalu, że salami „magicznie zniknęło” i należy się zwrot pieniędzy. Problem w tym, że do usuwania salami został zatrudniony Chat GPT, który jak to AI — czasem lubi zrobić mały glitch, zmiana cięcia…

Czy jedno kliknięcie wystarczy, aby całe środowisko AI wpadło w ręce cyberprzestępców? W przypadku Open WebUI odpowiedź brzmi tak. Jak pokazał badacz bezpieczeństwa Metin Yunus Kandemir, wykryta podatność (Stored XSS) pozwala na przejęcie pełnej kontroli nad platformą przy minimalnej interakcji ze strony użytkownika. TLDR: Błąd występuje w implementacji funkcji przetwarzającej…

W zasadzie wszystko wiecie już z tytułu. GitHub informuje o trwającym incydencie, dotykającym ich wielu wewnętrznych repozytoriów. Na razie wiemy tyle: Jeden z programistów GitHuba zainstalował przypadkiem zainfekowane rozszerzenie do VS Code. Atakujący wykorzystali ten dostęp i zaczęli buszować po wewnętrznych repo GitHuba. GitHub w ogłoszonym właśnie alercie, zaznacza że…