Kategoria: Security News

Wprowadzenie do problemu / definicja

W ekosystemie WordPress jedną z najgroźniejszych klas podatności pozostaje nieautoryzowane przesyłanie plików na serwer. Tego rodzaju błąd może prowadzić do zdalnego wykonania kodu, przejęcia witryny oraz wdrożenia trwałych mechanizmów dostępu przez atakującego. Najnowszy przypadek dotyczy dodatku Ninja Forms File Upload, w którym wykryto krytyczną lukę oznaczoną jako CVE-2026-0740.

Problem dotyczy wersji do 3.3.26 włącznie i wynika z niewystarczającej walidacji typu oraz nazwy przesyłanych plików. W praktyce oznacza to możliwość wgrania na serwer dowolnego pliku, w tym skryptu PHP, bez konieczności uwierzytelnienia.

W skrócie

• Podatność CVE-2026-0740 otrzymała ocenę CVSS 9.8.
• Zagrożone są wersje Ninja Forms File Upload do 3.3.26 włącznie.
• Luka umożliwia niezalogowanemu napastnikowi przesłanie dowolnego pliku i potencjalne osiągnięcie RCE.
• Pełna poprawka została udostępniona w wersji 3.3.27.
• Podatność jest aktywnie wykorzystywana w atakach.

Kontekst / historia

Ninja Forms to popularny kreator formularzy dla WordPressa, używany w formularzach kontaktowych, procesach rejestracyjnych oraz wielu wdrożeniach biznesowych. Rozszerzenie File Upload zwiększa funkcjonalność o możliwość dodawania załączników przez użytkowników, ale jednocześnie rozszerza powierzchnię ataku.

Zgłoszenie podatności przypisano badaczowi Sélimowi Lanouarowi. Według publicznie opisywanej osi czasu zgłoszenie i walidacja miały miejsce 8 stycznia 2026 roku, częściowa poprawka została udostępniona 10 lutego 2026 roku w wersji 3.3.25, natomiast pełne usunięcie problemu nastąpiło dopiero 19 marca 2026 roku wraz z publikacją wersji 3.3.27.

Szczególnie istotne jest to, że po ujawnieniu i opublikowaniu pełnej poprawki zaczęły pojawiać się informacje o aktywnych próbach wykorzystania luki. To wpisuje się w dobrze znany schemat, w którym cyberprzestępcy szybko automatyzują skanowanie internetu pod kątem podatnych instalacji WordPressa.

Analiza techniczna

Rdzeń problemu sprowadza się do błędnej obsługi procesu uploadu plików. W podatnych wersjach mechanizm nie wymuszał skutecznej kontroli rozszerzenia i typu przesyłanego pliku przed zapisaniem go na serwerze. W efekcie możliwe było przesłanie pliku wykonywalnego, w tym skryptu PHP.

Dodatkowym czynnikiem ryzyka był brak odpowiedniej sanityzacji nazwy pliku. Taka sytuacja otwiera drogę do manipulacji ścieżką docelową i potencjalnego wykorzystania traversal katalogów, aby zapisać plik w lokalizacji dogodnej z punktu widzenia późniejszego wykonania kodu.

Z technicznego punktu widzenia mamy do czynienia z klasycznym przypadkiem arbitrary file upload, który może zostać eskalowany do zdalnego wykonania kodu. Scenariusz ataku jest relatywnie prosty: napastnik przygotowuje złośliwy plik, przesyła go przez podatny endpoint, a następnie uruchamia zapisany zasób przez żądanie HTTP. Jeśli plik trafi do katalogu interpretowanego przez PHP, serwer wykona osadzony kod.

W praktyce umożliwia to instalację webshella, pobranie kolejnych ładunków, modyfikację treści witryny, kradzież danych konfiguracyjnych oraz dalsze działania po stronie środowiska hostingowego. Ważne jest również to, że wersja 3.3.25 usuwała problem tylko częściowo, więc dopiero wydanie 3.3.27 należy traktować jako skuteczne zamknięcie opisywanej ścieżki ataku.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem wykorzystania CVE-2026-0740 jest pełne przejęcie witryny WordPress. Po uzyskaniu możliwości wykonania kodu atakujący może nie tylko przejąć kontrolę nad samą stroną, ale również rozszerzyć działania na inne elementy środowiska.

• instalacja webshella i utrzymanie trwałego dostępu,
• kradzież danych przesyłanych przez formularze,
• modyfikacja zawartości strony i osadzanie złośliwego JavaScript,
• tworzenie nowych kont administracyjnych,
• wykorzystanie serwera do phishingu lub dystrybucji malware,
• próby ruchu lateralnego w środowiskach współdzielonych.

Ryzyko jest szczególnie wysokie w organizacjach, które dopuszczają upload plików bez dodatkowych zabezpieczeń po stronie serwera WWW, bez skanowania antywirusowego oraz bez blokowania wykonywania skryptów w katalogach przeznaczonych na załączniki. W takim modelu nawet pojedynczy podatny komponent może stać się punktem wejścia do szerszej kompromitacji.

Rekomendacje

Najważniejszym działaniem jest natychmiastowa aktualizacja dodatku Ninja Forms File Upload do wersji 3.3.27 lub nowszej. Jeżeli organizacja nie jest w stanie szybko potwierdzić numeru wersji, powinna potraktować instalację jako potencjalnie zagrożoną i wdrożyć działania defensywne.

• zweryfikować wszystkie instalacje WordPress pod kątem obecności dodatku i jego wersji,
• przeanalizować logi HTTP, PHP oraz serwera WWW pod kątem nietypowych uploadów i wywołań nowych plików,
• przeszukać katalogi uploadów oraz webroot w poszukiwaniu plików PHP i artefaktów persistence,
• sprawdzić integralność plików rdzenia WordPressa, wtyczek i motywów,
• zresetować hasła administratorów, poświadczenia hostingu, FTP i bazy danych w razie podejrzenia kompromitacji,
• wdrożyć reguły WAF blokujące niebezpieczne rozszerzenia i anomalie ścieżek,
• zablokować wykonywanie skryptów w katalogach uploadu,
• włączyć monitoring zmian plików i alertowanie o nietypowych operacjach zapisu.

W organizacjach o wyższej dojrzałości bezpieczeństwa wskazane jest także przeprowadzenie retrospektywnego threat huntingu. Szczególną uwagę warto poświęcić okresowi od stycznia do kwietnia 2026 roku i wyszukiwaniu prób nadużyć związanych z endpointami odpowiedzialnymi za upload plików.

Podsumowanie

CVE-2026-0740 to krytyczna podatność typu arbitrary file upload w dodatku Ninja Forms File Upload dla WordPressa, która może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia. Połączenie prostoty eksploatacji, wysokiego wpływu na bezpieczeństwo oraz informacji o aktywnym wykorzystaniu sprawia, że problem należy traktować priorytetowo.

Administratorzy nie powinni ograniczać się wyłącznie do aktualizacji. Równie ważne jest sprawdzenie, czy podatna instalacja nie została już naruszona, oraz wdrożenie dodatkowych kontroli ograniczających ryzyko podobnych incydentów w przyszłości.

Źródła

1. BleepingComputer – Hackers exploit critical flaw in Ninja Forms WordPress plugin — https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-flaw-in-ninja-forms-wordpress-plugin/
2. Wordfence Intelligence – Ninja Forms – File Upload <= 3.3.26 – Unauthenticated Arbitrary File Upload — https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ninja-forms-uploads/ninja-forms-file-upload-3326-unauthenticated-arbitrary-file-upload
3. Wordfence Blog – 50,000 WordPress Sites affected by Arbitrary File Upload Vulnerability in Ninja Forms – File Upload WordPress Plugin — https://www.wordfence.com/blog/2026/04/50000-wordpress-sites-affected-by-arbitrary-file-upload-vulnerability-in-ninja-forms-file-upload-wordpress-plugin/
4. WordPress.org – Ninja Forms – The Contact Form Builder That Grows With You — https://wordpress.org/plugins/ninja-forms/
5. CVE Record – CVE-2026-0740 — https://www.cve.org/CVERecord?id=CVE-2026-0740

Wprowadzenie do problemu / definicja

W środowisku e-commerce ponownie rośnie aktywność kampanii web skimming, których celem jest przechwytywanie danych kart płatniczych bezpośrednio podczas finalizacji zakupów. Najnowszy wariant ataku wymierzonego w sklepy oparte na Magento i Adobe Commerce wykorzystuje nietypową technikę ukrycia złośliwego kodu w pozornie niegroźnym obrazie SVG o rozmiarze zaledwie 1×1 piksela.

To podejście utrudnia wykrycie zagrożenia, ponieważ złośliwy ładunek nie musi być ładowany jako osobny plik JavaScript z zewnętrznej domeny. Zamiast tego jest osadzany bezpośrednio w kodzie strony, co zmniejsza liczbę klasycznych wskaźników kompromitacji.

W skrócie

Badacze bezpieczeństwa opisali kampanię, w której skimmer płatniczy jest ukrywany inline w atrybucie onload elementu SVG. Po wejściu użytkownika w końcowy etap zakupu skrypt uruchamia fałszywą nakładkę płatności, która imituje legalny formularz checkout i zbiera dane karty oraz informacje rozliczeniowe.

• złośliwy kod ukryto w 1-pikselowym elemencie SVG,
• ładunek jest dekodowany po stronie przeglądarki,
• atak przechwytuje dane karty, datę ważności, CVV i dane klienta,
• dane są walidowane i wyprowadzane do infrastruktury atakującego,
• kampania jest łączona z wcześniejszym wykorzystywaniem luki PolyShell.

Kontekst / historia

Ataki MageCart i web skimming od lat należą do najgroźniejszych zagrożeń dla sklepów internetowych. Ich skuteczność wynika z faktu, że cyberprzestępcy nie muszą przełamywać zabezpieczeń operatorów kart płatniczych. Wystarczy, że zmodyfikują kod sklepu, szablon checkoutu lub mechanizm renderowania strony tak, aby przechwycić dane wpisywane przez klienta.

W opisywanym przypadku kampania została powiązana z falą aktywnego wykorzystywania podatności określanej jako PolyShell, ujawnionej w marcu 2026 roku. Oznacza to, że zagrożenie nie ogranicza się wyłącznie do prostego osadzenia skryptu w HTML, ale może być efektem wcześniejszego uzyskania dostępu do środowiska sklepu i utrzymania tam trwałej obecności.

Analiza techniczna

Kluczowym elementem ataku jest osadzenie złośliwego ładunku w niewielkim obiekcie SVG, który na pierwszy rzut oka wygląda jak neutralny element interfejsu lub techniczny zasób strony. Faktyczna funkcja tego obiektu nie polega jednak na renderowaniu grafiki, lecz na uruchomieniu kodu JavaScript przez atrybut onload.

Ładunek jest zapisany w postaci zakodowanego ciągu, zwykle Base64, a następnie dekodowany funkcją atob() i wykonywany z opóźnieniem przy użyciu mechanizmów takich jak setTimeout(). Taki model działania daje napastnikom kilka istotnych korzyści:

• eliminuje potrzebę pobierania zewnętrznego skryptu,
• utrudnia analizę ruchu sieciowego,
• zmniejsza widoczność podejrzanych odwołań do obcych domen,
• pozwala ukryć pełną logikę malware w pojedynczym fragmencie HTML.

Po uruchomieniu skrypt przechwytuje interakcję użytkownika z procesem płatności i wyświetla fałszywą warstwę udającą bezpieczny formularz transakcyjny. Ofiara wpisuje dane karty płatniczej, nie zdając sobie sprawy, że trafiają one bezpośrednio do przestępców. Formularz może dodatkowo wykorzystywać walidację numeru karty, na przykład z użyciem algorytmu Luhna, aby zwiększyć wiarygodność interfejsu i poprawić jakość wykradanych rekordów.

Wyprowadzanie danych odbywa się zazwyczaj w postaci JSON, który przed transmisją jest zaciemniany przez kodowanie Base64 i prosty mechanizm XOR. Nie jest to silne szyfrowanie, ale wystarcza, aby utrudnić szybkie rozpoznanie zawartości przez podstawowe systemy monitoringu. Dodatkowe artefakty mogą obejmować wpisy w localStorage oraz żądania do zasobów przypominających legalne usługi telemetryczne lub analityczne.

Konsekwencje / ryzyko

Dla operatorów sklepów skutki takiej kompromitacji są wielowymiarowe. Najpoważniejszym następstwem jest oczywiście kradzież danych kart płatniczych klientów, co może prowadzić do oszustw finansowych, wzrostu liczby chargebacków, kosztownych audytów bezpieczeństwa i pogorszenia relacji z partnerami płatniczymi.

Równie istotne są konsekwencje reputacyjne. Klienci, którzy padną ofiarą incydentu, często tracą zaufanie do marki, a odbudowa wiarygodności po ujawnieniu naruszenia może być długotrwała i kosztowna. Jeśli dodatkowo doszło do szerszego przejęcia środowiska, incydent może oznaczać obecność backdoorów, nieautoryzowanych kont administracyjnych oraz dalsze ryzyko kradzieży danych osobowych.

Szczególnie niebezpieczne jest to, że technika ukrycia skimmera w SVG obniża skuteczność tradycyjnych metod detekcji skoncentrowanych na zewnętrznych skryptach. Bez monitorowania zmian w kodzie front-endu i analizy rzeczywistego zachowania checkoutu taki malware może pozostać aktywny przez długi czas.

Rekomendacje

Administratorzy sklepów Magento i Adobe Commerce powinni potraktować ten scenariusz jako incydent wysokiego priorytetu. Niezbędne są zarówno działania doraźne, jak i długofalowe mechanizmy ograniczające ryzyko ponownej kompromitacji.

• przeprowadzić audyt kodu HTML, szablonów i komponentów checkout pod kątem ukrytych tagów SVG z atrybutem onload,
• wyszukiwać wzorce zawierające atob(), setTimeout() oraz nietypowo długie ciągi Base64,
• sprawdzić pliki motywu, bloki CMS, własne moduły i miejsca umożliwiające dynamiczną injekcję kodu,
• przeanalizować logi aplikacyjne, przeglądarkowe oraz zawartość localStorage i sessionStorage,
• monitorować połączenia do nieznanych domen oraz endpointów podszywających się pod analitykę,
• wdrożyć wszystkie dostępne poprawki i hotfixy bezpieczeństwa dla Magento lub Adobe Commerce,
• wymusić rotację haseł administracyjnych, kluczy API i innych sekretów,
• uruchomić kontrolę integralności plików oraz przegląd zadań cron, kont administracyjnych i niestandardowych modułów,
• wdrożyć Content Security Policy ograniczające wykonywanie skryptów inline i połączenia do nieautoryzowanych domen,
• stosować MFA, segmentację dostępu administracyjnego i regularne skanowanie checkoutu z perspektywy przeglądarki użytkownika.

W razie potwierdzenia naruszenia organizacja powinna uruchomić formalny proces reagowania na incydent, zabezpieczyć materiał dowodowy, ocenić zakres kompromitacji i przeanalizować obowiązki notyfikacyjne wynikające z regulacji dotyczących ochrony danych oraz wymagań branży płatniczej.

Podsumowanie

Nowa kampania wymierzona w Magento pokazuje, że web skimming staje się coraz bardziej ukryty i trudniejszy do wykrycia. Wykorzystanie 1-pikselowego obrazu SVG jako nośnika dla zakodowanego skryptu pozwala omijać część klasycznych mechanizmów bezpieczeństwa i skutecznie przechwytywać dane płatnicze klientów podczas finalizacji zakupów.

Dla operatorów sklepów oznacza to konieczność połączenia szybkiego patch managementu z ciągłym monitoringiem front-endu, kontrolą integralności plików i analizą zachowania formularzy checkout. Ochrona samej warstwy serwerowej nie wystarcza, jeśli atakujący mogą manipulować tym, co użytkownik widzi i wypełnia w przeglądarce.

Źródła

1. https://www.bleepingcomputer.com/news/security/hackers-use-pixel-large-svg-trick-to-hide-credit-card-stealer/
2. https://helpx.adobe.com/security/products/magento/apsb26-05.html
3. https://experienceleague.adobe.com/en/docs/commerce-operations/release/versions

Wprowadzenie do problemu / definicja

Na użytkowników macOS wymierzono nową kampanię phishingowo-malware’ową, w której przestępcy wykorzystują technikę ClickFix do nakłonienia ofiary do uruchomienia złośliwego kodu. Charakterystycznym elementem tej odsłony ataku jest nadużycie wbudowanej aplikacji Script Editor zamiast częściej spotykanego Terminala. Taki zabieg zwiększa wiarygodność fałszywych instrukcji i może osłabić czujność użytkownika, który nie kojarzy edytora skryptów z bezpośrednim ryzykiem infekcji.

Celem kampanii jest dostarczenie malware Atomic Stealer, znanego także jako AMOS. To wyspecjalizowane złośliwe oprogramowanie zaprojektowane do kradzieży danych z systemów Apple, w tym haseł, cookies, informacji zapisanych w przeglądarkach oraz danych z portfeli kryptowalutowych.

W skrócie

• Atak wykorzystuje fałszywe strony podszywające się pod poradniki Apple dotyczące odzyskiwania miejsca na dysku.
• Ofiara jest przekierowywana do Script Editor przy użyciu schematu applescript://.
• Uruchomiony skrypt pobiera i wykonuje ładunek prowadzący do instalacji Atomic Stealer.
• Malware kradnie dane z Keychain, przeglądarek, zapisanych haseł, kart płatniczych i portfeli kryptowalutowych.
• Kampania omija część intuicyjnych sygnałów ostrzegawczych związanych z ręcznym uruchamianiem komend w Terminalu.

Kontekst / historia

ClickFix to technika socjotechniczna, w której ofiara otrzymuje instrukcję rzekomej „naprawy” błędu, aktualizacji lub problemu systemowego. W praktyce użytkownik sam wykonuje działania prowadzące do kompromitacji urządzenia. W poprzednich kampaniach opartych na tym modelu dominowały scenariusze wymagające skopiowania i uruchomienia polecenia w Terminalu, co dla bardziej świadomych odbiorców bywało sygnałem ostrzegawczym.

Obecna kampania pokazuje ewolucję tego schematu. Przestępcy porzucili oczywisty kontekst administracyjny Terminala na rzecz natywnej aplikacji macOS, która z perspektywy wielu użytkowników wygląda mniej groźnie. To przykład szerszego trendu polegającego na nadużywaniu legalnych i zaufanych komponentów systemowych do realizacji złośliwych działań.

Sam Atomic Stealer nie jest nowym zagrożeniem. Od dłuższego czasu pozostaje aktywnym narzędziem cyberprzestępczym i występuje w kampaniach wykorzystujących socjotechnikę, fałszywe aktualizacje oraz spreparowane materiały pomocnicze. Jego trwała obecność w krajobrazie zagrożeń dla macOS potwierdza, że platforma Apple nie jest odporna na zaawansowane operacje kradzieży danych.

Analiza techniczna

Mechanizm infekcji rozpoczyna się od wejścia użytkownika na stronę stylizowaną na pomoc techniczną Apple. Fałszywy serwis prezentuje instrukcje związane z oczyszczaniem przestrzeni dyskowej i zawiera elementy graficzne oraz komunikaty zaprojektowane tak, aby przypominały legalne wsparcie producenta.

Kluczowy etap polega na wykorzystaniu schematu applescript://, który otwiera Script Editor z gotowym skryptem. Użytkownik widzi pozornie nieszkodliwe narzędzie pomocnicze, ale po jego uruchomieniu wykonywany jest łańcuch poleceń prowadzący do pobrania i uruchomienia złośliwego oprogramowania.

Zaobserwowany mechanizm obejmuje obfuskowane polecenia typu curl | zsh, czyli pobranie zdalnej treści i natychmiastowe wykonanie jej w powłoce. Następnie dochodzi do dekodowania danych zakodowanych w Base64, rozpakowania ładunku, pobrania binarium do katalogu tymczasowego, usunięcia atrybutów bezpieczeństwa przy użyciu xattr -c, nadania praw wykonywania oraz startu finalnego pliku.

Ostateczny ładunek stanowi binarium Mach-O identyfikowane jako Atomic Stealer. Malware koncentruje się na kradzieży danych wysokiej wartości, w tym wpisów z Keychain, danych autouzupełniania, zapisanych haseł, plików cookies, informacji o kartach płatniczych, danych systemowych i artefaktów związanych z portfelami kryptowalutowymi w przeglądarkach. W praktyce może to oznaczać szybkie przejęcie dostępu do usług osobistych i firmowych bez konieczności stosowania bardziej złożonych technik post-exploitation.

Istotnym aspektem kampanii jest również zmiana percepcji ryzyka. Dla wielu użytkowników Terminal kojarzy się z działaniami administracyjnymi i potencjalnym zagrożeniem, natomiast Script Editor nie budzi podobnych skojarzeń. Atakujący wykorzystują więc psychologię zaufania do narzędzi systemowych, aby zwiększyć skuteczność operacji.

Konsekwencje / ryzyko

Udana infekcja może prowadzić do poważnych skutków zarówno dla użytkowników indywidualnych, jak i organizacji korzystających z macOS. Kradzież haseł, tokenów sesyjnych i danych z Keychain może umożliwić przejęcie skrzynek pocztowych, kont w usługach SaaS, narzędzi deweloperskich, komunikatorów oraz paneli administracyjnych.

Duże ryzyko dotyczy także sfery finansowej. Dane z kart płatniczych, cookies sesyjne i informacje z rozszerzeń portfeli kryptowalutowych mogą zostać wykorzystane do bezpośrednich strat finansowych, obchodzenia mechanizmów logowania i dalszej eskalacji dostępu.

W środowisku firmowym zagrożenie jest jeszcze szersze. Kompromitacja pojedynczego hosta może stać się punktem wyjścia do ataków na repozytoria kodu, systemy wsparcia, platformy chmurowe i konta uprzywilejowane. Jeśli złośliwe oprogramowanie lub operator kampanii uzyskają możliwość utrzymania dostępu, incydent może szybko wyjść poza etap zwykłej kradzieży danych i przerodzić się w głębszą infiltrację infrastruktury.

Rekomendacje

Organizacje powinny potraktować nieoczekiwane uruchomienia Script Editor jako zdarzenia podwyższonego ryzyka, zwłaszcza jeśli następują po interakcji z przeglądarką lub niestandardowym schematem URI. Ochrona przed takimi kampaniami wymaga połączenia monitoringu, kontroli wykonania oraz edukacji użytkowników.

• Monitorować uruchomienia Script Editor, osascript, zsh, sh i procesów odpowiedzialnych za pobieranie treści z sieci.
• Wykrywać sekwencje obejmujące użycie curl, dekodowanie Base64, operacje w katalogach tymczasowych i modyfikację atrybutów przez xattr.
• Ograniczać możliwość uruchamiania nieautoryzowanych skryptów i egzekwować polityki dla narzędzi administracyjnych.
• Stosować EDR/XDR dla macOS z telemetrią procesową oraz regułami wykrywającymi nadużycie zaufanych aplikacji systemowych.
• Szkolić użytkowników, aby nie wykonywali „napraw” prezentowanych przez losowe strony internetowe.
• Promować korzystanie wyłącznie z oficjalnej dokumentacji producenta podczas rozwiązywania problemów systemowych.
• W przypadku podejrzenia kompromitacji przeprowadzić rotację haseł, unieważnienie sesji, przegląd zapisanych sekretów i ocenę pełnego zasięgu incydentu.

Z perspektywy reagowania na incydent warto dodatkowo przeanalizować artefakty w katalogach tymczasowych, historię uruchomień procesów, ślady pobrań internetowych oraz wykonania skryptów przez komponenty AppleScript i JXA. Sama eliminacja pliku malware może nie być wystarczająca, jeśli doszło już do wycieku danych uwierzytelniających.

Podsumowanie

Nowa kampania wymierzona w macOS pokazuje, że operatorzy zagrożeń stale udoskonalają techniki ClickFix i adaptują je do zachowań użytkowników. Nadużycie Script Editor zamiast Terminala zwiększa skuteczność socjotechniki i wpisuje się w model wykorzystywania zaufanych narzędzi systemowych do realizacji złośliwych celów.

Atomic Stealer pozostaje istotnym zagrożeniem dla środowisk Apple, szczególnie tam, gdzie na stacjach roboczych przechowywane są hasła, dane przeglądarek i aktywa kryptowalutowe. Dla zespołów bezpieczeństwa kluczowe znaczenie mają monitoring procesów, detekcja łańcuchów wykonania oraz konsekwentna edukacja użytkowników w zakresie fałszywych instrukcji i pozornie nieszkodliwych skryptów.

Źródła

1. BleepingComputer — https://www.bleepingcomputer.com/news/security/new-macos-stealer-campaign-uses-script-editor-in-clickfix-attack/
2. Jamf Threat Labs — https://www.jamf.com/blog/clickfix-on-macos-script-editor-abuse/
3. Apple Platform Security — https://support.apple.com/guide/security/welcome/web
4. MITRE ATT&CK — Command and Scripting Interpreter — https://attack.mitre.org/techniques/T1059/
5. MITRE ATT&CK — przegląd technik związanych z kradzieżą poświadczeń — https://attack.mitre.org/