Security
Wycieki, AI i nowe ataki – przegląd security
LastPass i Tata Electronics na celowniku, AI wykrywa luki w rządowych systemach, nowe zagrożenia CI/CD i macOS.
LastPass naruszony przez atak łańcucha dostaw Klue
12 czerwca 2026 roku Klue wykryło włamanie do swoich systemów. Nieautoryzowany aktor zdobył tokeny OAuth, które Klue przechowywało dla wielu klientów, w tym LastPass. Atakujący wykorzystał te tokeny do uzyskania dostępu do danych klientów LastPass w środowisku Salesforce. Wyciek obejmuje nazwiska, adresy e-mail, numery telefonów, adresy fizyczne, zgłoszenia do pomocy technicznej oraz dane sprzedażowe. LastPass zapewnił, że sejfy haseł i własna infrastruktura nie zostały naruszone. Atak wykorzystał skompromitowane, przestarzałe dane logowania do usługi integracyjnej, co umożliwiło ruch boczny z Klue do Salesforce bez dotykania serwerów LastPass. Grupa Icarus przyznała się do ataku i zagroziła publikacją danych, jeśli okup nie zostanie zapłacony – do publikacji nie potwierdzono wycieku. LastPass wyłączył dostęp pracowników do Klue, rotował wystawione tokeny i powiadomił organy ścigania. Firma ostrzegła klientów przed trwającą kampanią phishingową wykorzystującą domeny baccarat.com.au, robinskitchen.com.au i house.com.au. Naruszenie w Klue dotknęło także inne firmy, m.in. HackerOne, Recorded Future, Tanium, Jamf, Sprout Social, Gong i Insurity.
LastPass Breached via Klue Supply-Chain Attack:… | DeafNews →
Wyciek 200 tys. plików Tata Electronics – dane Apple i Tesli w darknecie
Tata Electronics potwierdziła incydent cyberbezpieczeństwa 22 czerwca 2026 roku, stwierdzając, że doszło do niego „kilka tygodni wcześniej”. Grupa ransomware World Leaks opublikowała na forum darknetu ponad 200 000 plików o łącznej objętości ponad 630 GB. Próbki danych zawierają dokumenty, które „wydają się być” specyfikacjami dostawcy Apple oraz dokumentami produkcyjnymi Tesli. TechCrunch przeanalizował próbki, ale źródło, integralność i kompletność danych nie zostały potwierdzone. Tata Electronics nie odpowiedziała na pytania dotyczące charakteru skompromitowanych danych ani zawiadomienia organów. Apple rozpoczęło wewnętrzne śledztwo. Firma poinformowała część pracowników w zakładach montażu iPhone’ów o incydencie na tydzień przed publicznym potwierdzeniem. World Leaks, które wcześniej dokonało włamania do Nike, opublikowało dane na forum hakerskim. Wśród plików znalazły się m.in. 52-stronicowe standardy kontroli jakości Apple dla podzespołów iPhone’a, rysunki z oznaczeniem „TAJNICA HANDLOWA” dla projektu Highland (Tesla Model 3), kopie paszportów pracowników (w tym obcokrajowców), e-maile oraz dzienniki zdarzeń. Mechanizm włamania nie został ujawniony, a atrybucja ani motywy atakujących nie są znane. Tata produkuje około jednej trzeciej iPhone’ów w Indiach i w 2024 roku podpisała umowę na dostawę półprzewodników z Teslą.
Tata Electronics Breach: 200,000 Files Leaked,… | DeafNews →
Model Mythos od Anthropic wykrył luki w systemach rządowych USA
Poufne źródło poinformowało Associated Press we wtorek, że model Mythos firmy Anthropic zidentyfikował luki w bardzo wrażliwych i bezpiecznych systemach komputerowych rządu USA podczas ćwiczeń testowych. Anthropic współpracowało z amerykańskimi agencjami wywiadowczymi przy przeprowadzaniu tych testów. Model Mythos wykrył pewne luki w ciągu kilku godzin, ale urzędnik zastrzegł, że nie oznacza to, iż model był w stanie je wykorzystać w tym czasie. Ćwiczenia pokazują potencjał sztucznej inteligencji w zakresie cyberbezpieczeństwa, ale nie ujawniono szczegółów ani konkretnych systemów.
Anthropic’s Mythos model found vulnerabilities in classified US government systems, official says →
Nowa słabość CI/CD Cordyceps zagraża łańcuchom dostaw oprogramowania
Badacz bezpieczeństwa Elad Meged z firmy Novee opublikował wpis o nowej klasie słabości przepływów CI/CD nazwanej „Cordyceps”. Pozwala ona atakującym wykorzystywać złośliwe pull requesty do kompromitacji łańcuchów dostaw oprogramowania. Problem dotyczy repozytoriów kodu w organizacjach każdej wielkości. Novee znalazło 654 repozytoria potencjalnie podatne na atak, a 300 określiło jako „w pełni wyzyskiwalne” – umożliwiające przejęcie kontroli nad kodem, kradzież kluczy i tokenów, publikację złośliwych pakietów oraz ominięcie bramek scalania. W przypadku Microsoft Azure Sentinel atakujący mógł skomentować pull request i uruchomić anonimowy kod na CI Microsoftu, kradnąc niegasnący klucz GitHub App. W Google AI Agent Development Kit atak na pull request pozwalał przejąć pełną kontrolę nad powiązanym projektem Google Cloud. Novee znalazł również ataki zero-click na Apache Doris oraz na Cloudflare Workers SDK i Python Software Foundation Black. Microsoft i Google potwierdziły wpływ; Cloudflare zastosowało wzmocnienie, a Apache wdrożyło poprawki. Nie ma dowodów, by atak był wykorzystywany na szeroką skalę. Główną przyczyną są słabe konfiguracje CI/CD przyznające pull requestom zbyt wysokie uprawnienia. Meged ostrzegł, że „AI coding agents skalują problem”, generując konfiguracje CI/CD powielające niebezpieczne wzorce w milionach repozytoriów.
‘Cordyceps’: Mushrooming Malicious Pull Requests Threaten Developer Workflows →
Nowa kampania macOS ClickFix instaluje AMOS przez fałszywą CAPTCHĘ
Badacze z Palo Alto Networks Unit 42 odkryli nową kampanię macOS ClickFix, która wykorzystuje fałszywą stronę CAPTCHA, nakłaniając użytkowników do otwarcia Terminala i wklejenia złośliwego polecenia. Polecenie pobiera plik DMG z serwera atakującego, montuje go w tle (bez wyświetlania w Finderze), a następnie uruchamia złośliwą aplikację – w tym przypadku Atomic macOS Stealer (AMOS). Program kradnie dane logowania z przeglądarek Chromium i Firefox, portfele kryptowalut (Exodus, Electrum, Atomic Wallet i inne), dane Telegrama i Discorda, Apple Notes, pliki Keychain i dokumenty. Dodatkowo podmienia legalne instalacje Ledger Live i Trezor Suite na złośliwe wersje, prawdopodobnie w celu kradzieży kryptowalut. Wszystkie zebrane dane są archiwizowane i wysyłane na serwer atakującego. Kampania wykorzystywała serwery C2 pod adresami svs-verificationdate[.]beer i 196.251.107[.]171. Użytkownicy macOS powinni zachować szczególną ostrożność, gdy strony internetowe każą im otwierać Terminal i wykonywać polecenia – zwłaszcza w ramach weryfikacji CAPTCHA lub „naprawy” przeglądarki.
New macOS ClickFix attack silently mounts DMGs to push infostealer →