Tag: malware

Microsoft Threat Intelligence przeprowadził analizę odświeżonego wariantu ransomware The Gentlemen. Malware charakteryzuje się wysoce rozwiniętym mechanizmem self-propagation, czyli zdolnością do rozprzestrzeniania się w sieci. Ponadto, zaimplementowano w nim silne mechanizmy kryptograficzne oraz techniki zabezpieczające przed inżynierią wsteczną, co znacząco utrudnia analizę.  TLDR: Badacze z Microsoftu powiązali kampanię z grupą Storm-2697…

Wyobraźmy sobie sytuację, w której na naszą służbową skrzynkę przychodzi wiadomość z atrakcyjną ofertą biznesową. Szczegóły mają być przedstawione w załączonym dokumencie. W mailu widnieje prośba o pilne zapoznanie się z treścią oraz możliwie jak najszybszą odpowiedź.  TLDR: Zainteresowani propozycją bezrefleksyjnie pobieramy załącznik, a następnie otwieramy plik. Po krótkiej chwili…

Badacze bezpieczeństwa z EclecticIQ alarmują o trwającej kampanii cyberprzestępczej, wycelowanej głównie w programistów szukających instalatorów GeminiCLI oraz Claude Code. Atakujący używają techniki SEO poisoning (zatruwanie wyników wyszukiwania), aby pozycjonować fałszywe domeny nad oficjalnymi witrynami. Strony perfekcyjnie odzwierciedlają autentyczne witryny instalacyjne poszczególnych agentów. Jednak w pakiecie, oprócz instalacji samego agenta, użytkownik…

Badacze z XLab wykryli kampanię wymierzoną w strony wykorzystujące Ghost CMS. Atakujący wykorzystał podatność SQL injection (CVE-2026-26980) do uzyskania klucza API, a następnie użył go do masowego modyfikowania treści, wstrzykując złośliwy kod JavaScript. TLDR: Chociaż podatność CVE-2026-26980 została publicznie ujawniona już 19 lutego, wiele stron nie zostało załatanych, co stworzyło…

Twórcy popularnego menadżera pobierania plików – JDownloader poinformowali o naruszeniu bezpieczeństwa swojej witryny internetowej. Atakującym udało się uzyskać nieautoryzowany dostęp do systemu zarządzania treścią (CMS), w wyniku czego linki prowadzące do niektórych instalatorów zostały podmienione na zainfekowane binarki.  TLDR: W przypadku systemu Windows incydent dotyczył wyłącznie linków Download Alternative Installer,…

We wrześniu 2025 pisaliśmy o kampanii Shai-Hulud, w ramach której infekowano paczki npm. Wszystko wskazuje na to, że kampania nie tylko wciąż trwa, ale też doczekała się wersji dla PyPI – umieszczającej złośliwy kod w pakietach Python.  Badacze bezpieczeństwa z OX Security odkryli złośliwe aktualizacje pakietów Lightning (PyPI) oraz intercom-client…

Gwałtowny rozwój sztucznej inteligencji oraz wysyp narzędzi wspieranych przez LLM-y kreuje zupełnie nową cyfrową rzeczywistość. Zapewne już teraz wielu z nas nie wyobraża sobie życia bez asystenta AI, który zrobi krótkie podsumowanie najważniejszych wydarzeń z danego dnia, odpowie na maile, doradzi w zakupach, czy też podpowie co mamy zjeść na…

Patryk przesłał nam informację o infekcji strony rzeszowskiejuwenalia[.]pl Nasz czytelnik odwiedził tę stronę i natknął się na taki widok: Sam obrazek jeszcze niewiele zdradza, ale… po kliknięciu strona prosiła aby nacisnąć kolejno klawisze: Windows+R, Ctrl+V oraz enter. O co tutaj technicznie chodzi? Po kliknięciu: I’m not a robot – strona…

Badacze bezpieczeństwa z CTM360 opublikowali raport zawierający szczegóły kampanii wymierzonej w użytkowników Telegrama. Złośliwa infrastruktura, nazwana przez analityków FEMITBOT jest dystrybuowana za pomocą Telegram Mini Apps, czyli lekkich aplikacji webowych osadzonych wewnątrz komunikatora. Ich głównym przeznaczeniem jest wsparcie użytkownika poprzez oferowanie m.in. narzędzi biznesowych, obsługę płatności, portfele kryptowalutowe dostosowane stylem…

Badacze z StepSecurity odkryli złośliwe aktualizacje pakietu pgserve w npm. Jest to narzędzie do uruchamiania lokalnych baz PostgreSQL do developmentu / testów. Zainfekowane wersje (1.1.11, 1.1.12 i 1.1.13) wstrzykują 1143-liniowy skrypt wykradający poświadczenia użytkownika. Jest on uruchamiany przy instalacji przez hook postinstall. TLDR: Nie jest to jednak “zwykły” infostealer, bo…

Analitycy z Malwarebytes ostrzegają przed nowymi kampaniami, które łączy wspólny mianownik – infostealer ochrzczony przez badaczy jako NWHStealer. Malware jest dostarczany do użytkowników na wiele różnych sposobów: od zmodyfikowanych instalatorów ProtonVPN, OhmGraphite, Pachtop, HardwareVisualizer, po mody do gier (Xeno). Jak widać cyberprzestępcy żerują na zaufaniu użytkowników do popularnych produktów, przez…

Badacze z Socket odkryli złośliwą aktualizację dla Bitwarden CLI (interfejs do obsługi menedżera haseł Bitwarden w terminalu). Najprawdopodobniej jest to atak związany z trwającą kampanią supply chain, w ramach której wcześniej atakowano infrastrukturę Checkmarx. TLDR: Rys. 1 – detekcja przez skaner Socket, źródło: socket.dev Wersja pakietu, o której mowa, to…

Badacze bezpieczeństwa z Unit42 alarmują o trwającej kampanii wymierzonej w posiadaczy starszych routerów TP-Link. Na celowniku są modele, które nie są już objęte wsparciem producenta (status End-of-Line): Cyberprzestępcy wykorzystują lukę oznaczoną jako CVE-2023-33538, która pozwala na wstrzykiwanie złośliwych poleceń (RCE, Remote Command Execution). Analizując próbki można dojść do wniosku, że…

Badacze bezpieczeństwa z EXPMON przedstawili analizę podatności typu zero-day wymierzonej w użytkowników Adobe Reader. Próbka o nazwie yummy_adobe_exploit_uwu.pdf zawierająca malware została wgrana do systemu EXPMON pod koniec marca 2026 r. TLDR: Wyniki analizy przeprowadzonej przez system potwierdziły, że próbka posiada cechy potencjalnie złośliwego oprogramowania. Nie udało się jednoznacznie przypisać jej…

Badacze bezpieczeństwa z StepSecurity zidentyfikowali podejrzane aktualizacje wielu paczek npm. Okazuje się, że jest to nowa kampania – nazwana CanisterWorm – która nie tylko infekuje urządzenia programistów, ale też pakiety, do których mają oni dostęp (z poziomu swojego tokenu). Według ustaleń badaczy początkiem kampanii było wdrożenie złośliwej aktualizacji skanera Trivy,…