Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
Ten artykuł jest częścią serii „Bezpłatny Kurs LPI Security Essentials”, w ramach której znajdziesz wszystko, co potrzeba, aby zdać egzamin LPI Security Essentials 020-100 już za pierwszym razem.
Każdy moduł zawiera praktyczne przykłady, wyjaśnienia i materiały pomocnicze – wszystko po polsku, zrozumiale i konkretnie.
Czytaj dalej „LPI Security Essentials (Moduł 021.1) – Triada CIA W Praktyce”
W ostatnich miesiącach badacze zaobserwowali gwałtowny wzrost kampanii z wykorzystaniem tzw. NFC relay malware – złośliwych aplikacji, które nadużywają funkcji Host Card Emulation (HCE) w Androidzie, by przechwytywać i przekazywać w czasie rzeczywistym dane potrzebne do realizacji transakcji zbliżeniowych. Analizy wskazują na szczególnie dużą skalę zjawiska w Europie Środkowo-Wschodniej, co pokrywa się z najnowszymi doniesieniami branżowymi.
Pierwsze głośne przypadki nadużyć NFC/HCE w Europie raportowano już pod koniec 2023 r. – m.in. w Czechach, gdzie ESET opisał scenariusz łączący phishing, malware na Androida i przekazywanie ruchu NFC do wypłat z bankomatów. W 2024 r. badacze ESET nazwali komponent NGate i ostrzegali przed eskalacją metod. Wiosną 2025 r. włoski CERT-INCIBE opisał SuperCard X, narzędzie używane w kampanii przeciwko klientom banków we Włoszech. Równolegle firmy analityczne odnotowały dynamiczny wzrost zagrożeń mobilnych, w tym wariantów łączących NFC relay z innymi modułami finansowymi.
Model ataku NFC relay na Androidzie (HCE):
Dlaczego to działa?
Relay „oszukuje” zaufanie do krótkiego zasięgu NFC. Terminal płatniczy „widzi” prawidłową sekwencję wymiany APDU, chociaż karta/telefon ofiary znajduje się zupełnie gdzie indziej – co utrudnia wykrycie anomalii przez klasyczne reguły antifraudowe.
Dla użytkowników (Android):
Dla banków, fintechów i akceptantów:
W klasycznych trojanach bankowych dominują overlay + SMS/ats. W NFC relay kluczowe jest zdalne „przedłużenie” kanału zbliżeniowego, co pozwala płacić bez posiadania karty/urządzenia i bez typowych wskaźników kompromitacji (brak logowania do bankowości na urządzeniu atakującego). Nowsze kampanie łączą oba światy (relay + ATS), podnosząc skuteczność i trudność detekcji.
Arctic Wolf Labs opisało aktywną kampanię cyber-szpiegowską przypisywaną grupie UNC6384 ukierunkowaną na podmioty dyplomatyczne w Belgii i na Węgrzech (oraz inne cele w Europie). Ataki datowane są na wrzesień–październik 2025 r. i wykorzystują spreparowane skróty Windows (.lnk), które nadużywają podatności ZDI-CAN-25373 – techniki pozwalającej ukryć wykonanie poleceń poprzez manipulację argumentami w plikach LNK. Końcowym ładunkiem jest PlugX (SOGU) – znany trojan zdalnego dostępu często łączony z grupami powiązanymi z ChRL.
W sierpniu 2025 r. Google Threat Intelligence Group (GTIG) ujawniła wcześniejszą odsłonę kampanii UNC6384 wymierzoną w dyplomatów w Azji Południowo-Wschodniej. Tam atakujący przejmowali captive portal, podszywali się pod „Adobe plugin update” i w końcu dostarczali SOGU/PlugX przy użyciu side-loadingu komponentów Canona (STATICPLUGIN → MSI → CANONSTAGER).
Równocześnie PlugX pozostaje w centrum zainteresowania organów ścigania: 14 stycznia 2025 r. Departament Sprawiedliwości USA ogłosił operację usunięcia tej rodziny malware z ~4 258 komputerów w USA, wiążąc infekcje z Mustang Panda/Twill Typhoon.
The Record podkreśla, że PlugX od lat jest używany przez szereg chińskich grup, a działania DoJ to kontynuacja globalnych wysiłków po wcześniejszych przejęciach infrastruktury C2.
Łańcuch ataku (wariant europejski obserwowany przez Arctic Wolf):
COMMAND_LINE_ARGUMENTS). rjnlzlkfe.ta) do katalogu %AppData%\Local\Temp.cnmplog.dat). ZDI-CAN-25373 (aka ZDI-25-148): Trend Micro/ZDI opisuje wieloletnie i szerokie nadużycia tej słabości przez co najmniej 11 ugrupowań APT (KR/IR/RU/CN). Microsoft – według ZDI – nie wydał poprawki, co wymusza polityki ograniczania LNK i detekcje behawioralne.
PlugX/SOGU: wielofunkcyjny RAT znany od co najmniej 2008 r., zapewniający m.in. keylogging, exfiltrację plików, trwałość i zdalne sterowanie; stale ewoluuje (warianty Korplug/TIGERPLUG/SOGU).
Wybrane wskaźniki (IOC) z kampanii UNC6384 (Arctic Wolf):
Agenda_Meeting 26 Sep Brussels.lnk (SHA-256: 911cccd2…5fca539), cnmpaui.exe (Canon, legit), cnmpaui.dll (loader), cnmplog.dat (zaszyfrowany PlugX), rjnlzlkfe.ta (TAR).racineupci[.]org, dorareco[.]net, naturadeco[.]net, cseconline[.]org. Prewencja i twardnienie:
cnmpaui.exe) i blokowanie side-loadingu z niestandardowych ścieżek. Wykrywanie i hunting (przykłady):
cmd.exe/powershell.exe z rodzicem .lnk (reguły/hunty wg Trend Micro). %AppData%) i współwystępowanie plików cnmpaui.exe/.dll/.dat. gstatic → redirect → „plugin update” (artefakty kampanii GTIG/captive portal). Reakcja i ograniczanie skutków:
CISA i NSA – we współpracy z australijskim ACSC i kanadyjskim Cyber Centre – opublikowały spójny dokument „Microsoft Exchange Server Security Best Practices”, zawierający praktyczne wytyczne hartowania on-premises Exchange’a. Agencje podkreślają, że środowiska Exchange należy traktować jako zagrożone „tu i teraz” oraz wymuszają podejście prewencyjne: minimalny przywilej, szybkie aktualizacje, redukcja powierzchni ataku, silna kryptografia w transporcie.
Nowe wytyczne pojawiają się po serii incydentów i ostrzeżeń – m.in. po wakacyjnej Emergency Directive ED 25-02 dotyczącej poważnej luki w konfiguracjach hybrydowych (CVE-2025-53786), która umożliwia pivot z on-prem do Exchange Online. Nadal tysiące serwerów pozostaje niezałatanych.
Dokument agencji porządkuje obronę w trzech filarach:
Dodatkowo: włączenie funkcji ochronnych Windows/Defender (AMSI, ASR, AppLocker/WDAC) i EDR; własne anty-spam/anty-malware Exchange.
ISA/IEC 62443 to rodzina międzynarodowych standardów cyberbezpieczeństwa dedykowanych systemom automatyki i sterowania przemysłowego (Industrial Automation and Control Systems, IACS) oraz infrastrukturze OT (Operational Technology). Powstała z inicjatywy ISA (International Society of Automation) jako seria ISA-99, a następnie została przyjęta przez IEC pod numerem 62443. Standardy te zostały opracowane konsensualnie przez ekspertów z branży i są jedynym tak kompleksowym, uzgodnionym globalnie zestawem wymagań dla bezpieczeństwa systemów przemysłowych.
Czytaj dalej „FAQ: ISA/IEC 62443 W Praktyce”W popularnej wtyczce Anti-Malware Security and Brute-Force Firewall (GOTMLS) dla WordPressa wykryto podatność CVE-2025-11705, która umożliwia użytkownikom o niskich uprawnieniach (np. „Subscriber”) odczyt dowolnych plików na serwerze. W praktyce oznacza to możliwość wykradzenia m.in. zawartości wp-config.php (dane dostępowe do bazy), kluczy/saltów oraz innych prywatnych plików. Luka dotyczy wersji ≤ 4.23.81 i została poprawiona w 4.23.83 z 15 października 2025 r. Szacuje się, że wtyczka działa na 100 000+ witrynach.
GOTMLS_. Efekt: arbitrary file read dla zalogowanych użytkowników (od poziomu Subscriber).Zgłoszenie trafiło do zespołu Wordfence (Threat Intelligence) na początku października; 14 października przekazano je dalej przez WordPress.org Security Team do autora wtyczki. Dzień później pojawiło się wydanie 4.23.83 z poprawką. Publiczne ujawnienie – 29 października 2025 r. – opisało wektor i ryzyko dla serwisów z otwartą rejestracją użytkowników.
GOTMLS_ajax_scan() i pokrewnych akcjach AJAX GOTMLS_*. Weryfikacja opierała się na noncie, który użytkownik o niskich uprawnieniach mógł legalnie pozyskać, co pozwalało obejść intencję ograniczenia dostępu. wp-config.php, klucze/solty, logi, kopie konfiguracji itp. W konsekwencji możliwy jest dostęp do bazy danych i eksfiltracja skrótów haseł, e-maili, metadanych, treści wpisów.wp-config.php → poświadczenia bazy → dostęp do tabel użytkowników → pętle resetów/masowe logowania, phishing ukierunkowany (np. na redaktorów/adminów). wp-config.php (pole AUTH_KEY itp.) i rozważ reset haseł wybranym rolom, jeśli pliki mogły zostać odczytane. admin-ajax.php związanych z akcjami GOTMLS_* oraz nietypowych pobrań plików.Ta luka wymaga autoryzacji (loginu) i daje odczyt plików – to inny profil ryzyka niż ostatnie przypadki pełnych przejęć przez auth bypass/RCE. W praktyce jednak odczyt wp-config.php bywa wystarczający do dalszej kompromitacji (kradzież poświadczeń DB → pivot). Wordfence od miesięcy sygnalizuje, że wektorem nr 1 ekosystemu WordPress są wtyczki i ich endpointy (AJAX/REST), nie zaś sam core.
GOTMLS_* oraz potencjalnego wycieku wp-config.php.Aktywna kampania PhantomRaven celuje w programistów ekosystemu JavaScript, publikując dziesiątki złośliwych paczek w rejestrze npm. Ich celem jest kradzież tokenów uwierzytelniających (npm, GitHub Actions, GitLab, Jenkins, CircleCI), sekretów CI/CD oraz poświadczeń do repozytoriów, co otwiera drogę do wtórnych ataków na łańcuch dostaw oprogramowania. Kampania rozpoczęła się w sierpniu 2025 r., obejmuje 126 paczek i przekroczyła 86 000 pobrań. Zidentyfikowali ją badacze Koi Security; część paczek w momencie publikacji raportów była wciąż dostępna w npm.
npm install.preinstall) do automatycznego uruchomienia payloadu bez interakcji użytkownika. Ukrywanie złośliwego kodu w pakietach open source nie jest nowe, jednak PhantomRaven łączy kilka trendów: nadużycie rzadko używanej funkcji npm (URL-owe specyfikatory zależności), automatyczne skrypty instalacyjne i LLM-asystowanych rekomendacji paczek. Media branżowe opisują to jako ataki z „niewidzialnymi zależnościami”, które omijają statyczne skanery rejestrów i klasyczne analizatory SBOM.
Zamiast standardowych wpisów w "dependencies", złośliwe paczki wskazują HTTP URL (np. http://packages.storeartifact.com/...). Taki komponent nie znajduje się w npmjs.com, więc wiele narzędzi SCA/SAST go nie analizuje – interfejs npm pokazuje „0 dependencies”, co uśpiwa czujność. Podczas npm install pobierany jest zdalny pakiet, który zawiera preinstall uruchamiający złośliwy kod.
preinstall uruchamia się automatycznie, bez pytań..gitconfig, .npmrc, package.json. packages.storeartifact.com54.173.15.59jpd.phpjpdtester0X@..., m.in. jpdtester07@outlook[.]com, jpdtester12@gmail[.]com itd.unused-imports, eslint-comments, transform-react-remove-prop-types, @gitlab-lsp/*, artifactregistry-login, crowdstrike, react-async-component-lifecycle-hooks, syntax-dynamic-import i wiele innych (pełna lista w raporcie Koi). Atakujący rejestrują nieistniejące wcześniej, lecz „wiarygodne” nazwy, które LLM potrafią podpowiadać jako rzekomo właściwe („unused-imports” vs. prawidłowe eslint-plugin-unused-imports, itp.). To omija proste reguły typosquattingu i zwiększa skuteczność socjotechniki wobec developerów polegających na asystentach AI.
Natychmiastowa reakcja (IR):
packages.storeartifact.com i powiązane IP na egressie; monitoruj ruch HTTP/WS do niezatwierdzonych hostów. npm install z nietypowymi URL-ami w package.json/package-lock.json. Twardnienie (hardening) na przyszłość:
npm ci z --ignore-scripts (lub npm config set ignore-scripts true w pipeline’ach, a w razie potrzeby whitelistuj pojedyncze przypadki). Uzupełnij o izolację sieciową stepów instalacyjnych. (Zasada wynika z analizy mechanizmu preinstall.) package.json. Monitoruj PR-y pod kątem zmian w sekcji dependencies/scripts. npm install). postinstall do exfiltracji; PhantomRaven dodaje „niewidzialne” zależności i slopsquatting, co utrudnia detekcję i zwiększa skuteczność dystrybucji. PhantomRaven pokazuje, jak łatwo połączyć niszowe funkcje npm, automatyczne skrypty instalacyjne i błędy poznawcze (zaufanie do LLM) w skuteczny atak na łańcuch dostaw. Krytyczne są: blokada HTTP-owych zależności, wyłączenie skryptów lifecycle w CI, rotacja i krótkie TTL tokenów, monitoring ruchu podczas instalacji oraz dyscyplina weryfikacji paczek – szczególnie tych „poleconych” przez asystentów AI.