Tag: Malware

Wprowadzenie do problemu / definicja

Ataki na łańcuch dostaw oprogramowania należą dziś do najgroźniejszych zagrożeń dla organizacji korzystających z otwartego oprogramowania, automatyzacji CI/CD oraz kontenerów. Tym razem ofiarą incydentu padł pakiet elementary-data publikowany w repozytorium PyPI, wykorzystywany w ekosystemie dbt i środowiskach inżynierii danych.

Złośliwa wersja pakietu została wykorzystana do dystrybucji infostealera, czyli malware zaprojektowanego do kradzieży danych uwierzytelniających, sekretów infrastrukturalnych oraz plików mogących umożliwić dalszą kompromitację środowiska. To zdarzenie pokazuje, że legalnie wyglądający proces wydawniczy nie zawsze oznacza bezpieczeństwo artefaktu.

W skrócie

• Złośliwe wydanie dotyczyło wersji 0.23.3 pakietu elementary-data.
• Atak nie polegał na prostym przejęciu kont maintainera, lecz na nadużyciu luki w workflow GitHub Actions.
• Napastnik doprowadził do wykonania kontrolowanego kodu w pipeline CI/CD i przechwycił GITHUB_TOKEN.
• Uzyskany token posłużył do uruchomienia legalnego procesu publikacji skażonego wydania.
• Kompromitacja objęła nie tylko pakiet PyPI, ale również obraz kontenerowy powiązany z wydaniem.

Kontekst / historia

elementary-data to narzędzie open source wspierające obserwowalność danych, używane głównie przez zespoły analityczne oraz inżynierów danych pracujących z pipeline’ami dbt. Ze względu na skalę użycia i popularność w środowiskach produkcyjnych pakiet stanowi atrakcyjny cel dla cyberprzestępców zainteresowanych masową kompromitacją procesów deweloperskich.

Incydent został zauważony przez członka społeczności, który zgłosił problem w repozytorium projektu. Następnie opublikowano czystą wersję naprawczą, jednak w praktyce samo usunięcie złośliwego wydania nie cofa skutków naruszenia. Każdy system, który wcześniej pobrał i uruchomił zainfekowaną wersję, powinien być traktowany jako potencjalnie przejęty.

Analiza techniczna

Według opisu incydentu źródłem ataku była podatność klasy script injection w procesie automatyzacji GitHub Actions. Napastnik umieścił złośliwy komentarz w pull requeście, a podatny workflow przetworzył niezaufane dane wejściowe w sposób umożliwiający wykonanie polecenia na runnerze.

To szczególnie istotny detal z perspektywy bezpieczeństwa CI/CD. Dane pochodzące z tytułów pull requestów, komentarzy, opisów zgłoszeń i innych elementów kontekstu zdarzeń powinny być zawsze traktowane jako niezaufane. Jeśli trafią bez odpowiedniego filtrowania do instrukcji run, mogą zostać zinterpretowane przez powłokę i posłużyć do wykonania dowolnego kodu.

W analizowanym przypadku skutkiem było ujawnienie tokena GITHUB_TOKEN. Napastnik wykorzystał go następnie do przygotowania sfałszowanego, ale formalnie poprawnego procesu publikacji, w tym utworzenia commita i tagu v0.23.3, co uruchomiło legalny pipeline wydawniczy projektu. Dla użytkownika końcowego złośliwa wersja wyglądała więc jak zwykłe oficjalne wydanie.

Backdoor zawierał plik elementary.pth, który był wykonywany automatycznie przy starcie interpretera Pythona. Mechanizm plików .pth jest niebezpieczny, ponieważ umożliwia uruchomienie kodu jeszcze przed wykonaniem właściwej logiki aplikacji. Taki punkt wejścia utrudnia analizę i zwiększa szanse na skuteczne ukrycie złośliwego działania.

Ładunek malware był nastawiony na kradzież danych o wysokiej wartości operacyjnej. Dotyczyło to zarówno poświadczeń deweloperskich, jak i sekretów używanych w środowiskach chmurowych oraz kontenerowych.

• Klucze SSH.
• Poświadczenia Git.
• Sekrety chmurowe dla AWS, GCP i Azure.
• Dane związane z Kubernetes, Dockerem i CI/CD.
• Pliki .env i tokeny deweloperskie.
• Pliki portfeli kryptowalut.
• Wybrane dane systemowe, w tym historia powłoki, logi i istotne pliki konfiguracyjne.

Zakres incydentu zwiększył dodatkowo fakt, że proces publikacji obejmował także budowę i publikację obrazu kontenerowego. Oznacza to, że zagrożenie nie ograniczało się do użytkowników pobierających pakiet z PyPI. Skażone mogły być również środowiska korzystające z obrazów kontenerowych powiązanych z tym wydaniem, zwłaszcza gdy używano tagu latest.

Konsekwencje / ryzyko

Ryzyko związane z tym incydentem jest wysokie, ponieważ dotyczy popularnego komponentu open source używanego w środowiskach przetwarzania danych i automatyzacji. Malware był ukierunkowany przede wszystkim na sekrety, które mogą otworzyć drogę do dalszego ruchu bocznego, eskalacji uprawnień i przejęcia kolejnych zasobów.

• Utrata kluczy dostępowych do repozytoriów kodu.
• Kompromitacja środowisk cloud i klastrów Kubernetes.
• Wyciek sekretów z pipeline’ów CI/CD.
• Możliwość modyfikacji kodu źródłowego oraz artefaktów buildów.
• Kradzież aktywów kryptowalutowych.
• Trwałe skażenie obrazów kontenerowych i środowisk developerskich.

Szczególnie narażone były organizacje, które nie pinowały wersji zależności i polegały na automatycznym pobieraniu najnowszych wydań. W takich scenariuszach złośliwa wersja mogła zostać wdrożona bez świadomej decyzji operatora, co jest klasycznym przykładem ryzyka obecnego w atakach supply chain.

Rekomendacje

Organizacje, które mogły pobrać elementary-data==0.23.3 lub odpowiadające mu obrazy kontenerowe, powinny przyjąć założenie kompromitacji i wdrożyć działania naprawcze w trybie pilnym. Kluczowe jest nie tylko usunięcie artefaktu, ale również pełna ocena skutków naruszenia.

• Zidentyfikować hosty, pipeline’y i kontenery, które pobrały lub uruchomiły złośliwe wydanie.
• Wycofać skażone artefakty z wewnętrznych repozytoriów, cache’y buildów i rejestrów obrazów.
• Obrócić wszystkie sekrety dostępne z poziomu środowisk developerskich i CI/CD.
• Unieważnić klucze SSH, tokeny Git, tokeny API oraz poświadczenia chmurowe.
• Przeprowadzić forensics na runnerach CI, stacjach developerskich i hostach buildowych.
• Odbudować środowiska z zaufanego punktu odtworzenia.
• Zweryfikować historię tagów, commitów oraz podpisów w repozytoriach źródłowych.

W warstwie prewencyjnej warto wzmocnić ochronę procesu wydawniczego i zależności:

• Ściśle pinować wersje pakietów i obrazów kontenerowych.
• Stosować hash pinning dla krytycznych zależności.
• Oddzielić procesy testowe od uprawnień publikacyjnych.
• Ograniczyć uprawnienia GITHUB_TOKEN zgodnie z zasadą najmniejszych uprawnień.
• Blokować wykonywanie niezaufanych danych wejściowych w workflow GitHub Actions.
• Skanować artefakty pod kątem nietypowych plików inicjalizacyjnych, takich jak .pth.
• Monitorować ruch sieciowy wychodzący z runnerów i środowisk buildowych.
• Wdrożyć podpisywanie artefaktów oraz weryfikację ich integralności.

Ważną lekcją dla zespołów bezpieczeństwa jest także przegląd wszystkich workflow pod kątem miejsc, w których dane z pull requestów, issue lub komentarzy trafiają bezpośrednio do powłoki. To niedoceniany, ale bardzo skuteczny wektor ataku na nowoczesne pipeline’y.

Podsumowanie

Incydent związany z elementary-data pokazuje, że kompromitacja popularnego pakietu open source nie musi zaczynać się od kradzieży konta maintainera. Coraz częściej napastnicy atakują samą automatykę wydawniczą, wykorzystując błędy w GitHub Actions, pipeline’ach buildów i procesach publikacji.

W tym przypadku skutkiem było oficjalnie wyglądające wydanie zawierające infostealera oraz równoległa kompromitacja obrazu kontenerowego. Dla organizacji korzystających z ekosystemu Python i nowoczesnych procesów CI/CD to wyraźny sygnał, że bezpieczeństwo łańcucha dostaw wymaga ochrony nie tylko zależności, ale również całej logiki automatyzacji.

Źródła

1. BleepingComputer — https://www.bleepingcomputer.com/news/security/pypi-package-with-11m-monthly-downloads-hacked-to-push-infostealer/
2. GitHub Docs: Script injections — https://docs.github.com/en/actions/concepts/security/script-injections
3. PyPI: elementary-data — https://pypi.org/project/elementary-data/

Wprowadzenie do problemu / definicja

Ekosystem rozszerzeń do środowisk programistycznych odgrywa dziś istotną rolę w codziennej pracy deweloperów, ale jednocześnie stał się atrakcyjnym celem ataków na łańcuch dostaw oprogramowania. Najnowsze ustalenia badaczy wskazują, że w repozytorium Open VSX wykryto 73 fałszywe rozszerzenia Visual Studio Code, które podszywały się pod legalne pakiety i były powiązane z kampanią GlassWorm v2.

To zagrożenie pokazuje, że zaufanie do marketplace’ów i dodatków IDE może zostać łatwo wykorzystane przez cyberprzestępców. W praktyce pojedyncza instalacja złośliwego lub uśpionego rozszerzenia może otworzyć drogę do kradzieży danych, przejęcia poświadczeń oraz dalszej kompromitacji środowiska deweloperskiego.

W skrócie

Kampania objęła 73 rozszerzenia opublikowane jako klony legalnych odpowiedników. Co najmniej sześć z nich zostało zidentyfikowanych jako aktywne nośniki złośliwego oprogramowania, natomiast pozostałe działały jako pakiety typu sleeper, przygotowane do późniejszego uzbrojenia.

• Fałszywe rozszerzenia imitowały nazwy, opisy i ikony legalnych pakietów.
• Część z nich początkowo wyglądała na nieszkodliwe.
• Łańcuch ataku mógł prowadzić do instalacji dodatkowego malware i narzędzi zdalnego dostępu.
• Zagrożenie obejmowało nie tylko VS Code, ale również inne kompatybilne środowiska IDE na tej samej stacji roboczej.

Kontekst / historia

GlassWorm jest już rozpoznawalnym elementem krajobrazu zagrożeń wymierzonych w rozszerzenia deweloperskie i repozytoria pakietów. Wcześniejsze odsłony kampanii wiązano z nadużyciami w Open VSX, podejrzewanymi przejęciami kont deweloperów oraz wykorzystywaniem zależności pośrednich do ukrywania właściwego ładunku.

W najnowszej odsłonie operatorzy kampanii rozwinęli stosowane taktyki. Zamiast natychmiast publikować jednoznacznie złośliwe komponenty, tworzyli rozszerzenia wyglądające wiarygodnie i budujące pozory reputacji. Dopiero później mogły być aktualizowane lub wykorzystywane jako punkt wejścia do pobrania kolejnych etapów infekcji.

Szczególnie niebezpieczny jest aspekt socjotechniczny. Fałszywe wpisy potrafiły niemal idealnie odwzorowywać warstwę wizualną prawdziwych rozszerzeń, co znacząco zwiększało szansę, że użytkownik nie zauważy różnic w nazwie wydawcy albo identyfikatorze pakietu.

Analiza techniczna

Z technicznego punktu widzenia kampania wykorzystywała model cienkiego loadera. Oznacza to, że samo rozszerzenie instalowane przez użytkownika nie musiało zawierać pełnej logiki ataku. Zamiast tego pełniło rolę elementu pośredniego, który pobierał lub aktywował dodatkowy etap infekcji.

Badacze wskazali, że w części przypadków złośliwy komponent był dostarczany jako dodatkowy pakiet VSIX hostowany poza listingiem samego rozszerzenia. Następnie mógł być lokalnie instalowany także w innych wykrytych środowiskach programistycznych znajdujących się na tej samej maszynie. Taki mechanizm zwiększał skalę kompromitacji i utrudniał detekcję.

Istotnym elementem kampanii było również przenoszenie logiki ataku poza łatwo analizowalny kod JavaScript. Operatorzy wykorzystywali zewnętrzne komponenty, zależności przechodnie oraz natywne moduły binarne, które uruchamiały właściwe działania po stronie ofiary. Takie podejście ogranicza skuteczność prostych mechanizmów bezpieczeństwa opartych wyłącznie na analizie statycznej paczki.

Charakterystyczne było także nadużywanie procesu aktualizacji. Rozszerzenie mogło zostać opublikowane jako pozornie niegroźne, zdobyć instalacje i zaufanie użytkowników, a dopiero w kolejnej wersji zostać zmienione w nośnik malware. To szczególnie groźne w organizacjach korzystających z automatycznych aktualizacji dodatków bez ścisłej kontroli wydawców.

Według opisu badaczy końcowy łańcuch ataku mógł prowadzić do wdrożenia malware zdolnego do kradzieży danych, instalacji trojana zdalnego dostępu oraz osadzenia złośliwego rozszerzenia opartego na Chromium. Taki komponent mógł następnie pozyskiwać poświadczenia, zakładki i inne informacje zapisane w przeglądarce użytkownika.

Konsekwencje / ryzyko

Najbardziej narażeni są deweloperzy, zespoły DevOps oraz administratorzy środowisk CI/CD, szczególnie tam, gdzie dopuszcza się instalację rozszerzeń z zewnętrznych źródeł bez centralnej kontroli. Kompromitacja dodatku IDE może oznaczać utratę tokenów dostępowych, kluczy API, danych logowania do repozytoriów i sekretów środowiskowych.

Ryzyko wykracza jednak poza pojedynczą stację roboczą. Środowisko deweloperskie zwykle ma dostęp do kodu źródłowego, systemów build, rejestrów pakietów, chmury oraz narzędzi wdrożeniowych. W efekcie incydent może rozszerzyć się na cały łańcuch dostaw organizacji i doprowadzić do wstrzyknięcia złośliwego kodu do procesów produkcyjnych.

Dodatkowym problemem są pakiety sleeper, które przez długi czas mogą wyglądać całkowicie legalnie. To oznacza, że tradycyjna kontrola w momencie dopuszczenia rozszerzenia może nie wykazać zagrożenia, a faktyczna aktywacja nastąpi dopiero po aktualizacji lub pobraniu kolejnego ładunku.

Rekomendacje

Organizacje powinny traktować rozszerzenia IDE jako pełnoprawny element ryzyka supply chain. Ich instalacja nie powinna być pozostawiona wyłącznie decyzji użytkowników, lecz objęta centralnym nadzorem, polityką dopuszczeń oraz regularnym audytem.

• Utrzymuj listę dozwolonych rozszerzeń i ograniczaj ją do zweryfikowanych wydawców.
• Kontroluj nazwę wydawcy, identyfikator pakietu oraz historię wersji każdego dodatku.
• Monitoruj nietypowe zależności, relacje extension pack i extensionDependencies.
• Wykrywaj próby pobierania zewnętrznych pakietów po instalacji rozszerzenia.
• Analizuj uruchamianie natywnych modułów binarnych i komend systemowych przez IDE.

Z perspektywy operacyjnej warto wdrożyć monitorowanie stacji deweloperskich pod kątem nietypowej komunikacji sieciowej inicjowanej przez procesy IDE, dostępu do magazynów sekretów oraz modyfikacji przeglądarek i ich rozszerzeń. Dobrą praktyką jest także separacja środowisk deweloperskich od najbardziej wrażliwych poświadczeń.

W razie podejrzenia kompromitacji należy natychmiast odinstalować podejrzane rozszerzenia, przeanalizować artefakty VSIX i logi IDE, sprawdzić integralność repozytoriów oraz pipeline’ów CI/CD, a także zresetować hasła i tokeny używane na zainfekowanej stacji. Konieczne może być również skontrolowanie przeglądarek pod kątem nieautoryzowanych dodatków oraz objęcie ruchem wychodzącym wzmożonym monitoringiem.

Podsumowanie

Kampania GlassWorm v2 potwierdza, że rozszerzenia do środowisk programistycznych pozostają skutecznym i trudnym do wykrycia wektorem ataku. Wykrycie 73 fałszywych rozszerzeń w Open VSX pokazuje, że cyberprzestępcy coraz sprawniej łączą socjotechnikę, pakiety uśpione, zależności pośrednie i zewnętrzne ładunki.

Dla organizacji oznacza to konieczność objęcia dodatków IDE takimi samymi procedurami bezpieczeństwa jak biblioteki, kontenery czy artefakty build. Brak kontroli nad tym obszarem może doprowadzić do przejęcia środowisk deweloperskich i dalszej kompromitacji całego łańcucha dostaw oprogramowania.

Źródła

1. The Hacker News — https://thehackernews.com/2026/04/researchers-uncover-73-fake-vs-code.html
2. Socket — 73 Open VSX Sleeper Extensions Linked to GlassWorm Show New Malware Activations — https://socket.dev/blog/73-open-vsx-sleeper-extensions-glassworm
3. Socket — 72 Malicious Open VSX Extensions Linked to GlassWorm Campaign Now Using Transitive Dependencies — https://socket.dev/blog/open-vsx-transitive-glassworm-campaign
4. Socket — GlassWorm Loader Hits Open VSX via Suspected Developer Account Compromise — https://socket.dev/blog/glassworm-loader-hits-open-vsx-via-suspected-developer-account-compromise

Wprowadzenie do problemu / definicja

Oszustwa realizowane za pośrednictwem mediów społecznościowych stały się jednym z najpoważniejszych zagrożeń finansowych dla użytkowników internetu. Ich skuteczność wynika z połączenia socjotechniki, łatwego kontaktu z ofiarą oraz możliwości precyzyjnego targetowania komunikatów na podstawie aktywności, zainteresowań i danych profilowych. Najnowsze dane amerykańskiej Federal Trade Commission wskazują, że w 2025 roku konsumenci zgłosili ponad 2,1 mld dolarów strat związanych z oszustwami rozpoczynającymi się w social media.

W skrócie

Według FTC niemal 30% osób, które zgłosiły utratę pieniędzy w wyniku oszustwa, wskazało media społecznościowe jako punkt startowy incydentu. Łączne zgłoszone straty przekroczyły 2,1 mld dolarów, co oznacza około ośmiokrotny wzrost względem 2020 roku.

• Najczęściej wskazywaną platformą był Facebook.
• Na kolejnych miejscach znalazły się WhatsApp i Instagram.
• Straty powiązane z oszustwami inicjowanymi na Facebooku miały przewyższać łączne straty oszustw rozpoczynających się przez SMS i e-mail.

Kontekst / historia

W ostatnich latach media społecznościowe przestały być wyłącznie kanałem komunikacji i promocji, a stały się także środowiskiem podwyższonego ryzyka z punktu widzenia cyberbezpieczeństwa. Dla przestępców są one atrakcyjne, ponieważ umożliwiają szybkie dotarcie do dużej liczby użytkowników, niskim kosztem budowanie wiarygodności oraz prowadzenie długotrwałych kampanii socjotechnicznych.

Atakujący wykorzystują zarówno publiczne posty, jak i prywatne wiadomości, grupy, reklamy sponsorowane czy przejęte konta. Dzięki temu mogą podszywać się pod firmy, sprzedawców, doradców inwestycyjnych, a nawet znajomych ofiary. Zjawisko to wpisuje się w szerszy trend rosnącej cyberprzestępczości finansowej, w którym social media pełnią funkcję pierwszego kontaktu i etapu przygotowawczego do dalszego oszustwa.

Analiza techniczna

Z technicznego punktu widzenia media społecznościowe pełnią w kampaniach fraudowych rolę warstwy dostępu i warstwy zaufania. Atak nie musi zaczynać się od malware czy włamania do systemu. Często kluczowym elementem jest wzbudzenie zainteresowania użytkownika i przeniesienie rozmowy do komunikatora, prywatnego czatu lub zewnętrznego kanału płatności.

Najczęściej obserwowane techniki obejmują:

• przejęcie legalnych kont lub podszywanie się pod ich właścicieli,
• tworzenie fałszywych profili biznesowych, inwestycyjnych i zakupowych,
• promowanie oszustw za pomocą reklam sponsorowanych,
• budowanie relacji z ofiarą poprzez wieloetapową socjotechnikę,
• przenoszenie rozmów do komunikatorów w celu ograniczenia wykrywalności,
• nakłanianie do przelewów, instalacji aplikacji lub udostępniania ekranu.

Szczególnie niebezpieczne jest wykorzystanie danych profilowych do personalizacji przekazu. Publiczne informacje o miejscu zamieszkania, zainteresowaniach, pracy czy aktywności zakupowej pozwalają napastnikom przygotować komunikaty, które wyglądają wiarygodnie i są lepiej dopasowane do potencjalnej ofiary. To znacząco zwiększa skuteczność kampanii oszustw.

Platformy społecznościowe reagują na rosnącą skalę zagrożenia, wdrażając dodatkowe mechanizmy ochronne. Obejmują one między innymi ostrzeżenia dotyczące podejrzanych kontaktów, sygnały bezpieczeństwa w czatach oraz funkcje ochronne w komunikatorach związane z nieznanymi grupami i udostępnianiem ekranu. Skala problemu pokazuje jednak, że same zabezpieczenia po stronie platform nie wystarczają.

Konsekwencje / ryzyko

Najbardziej widocznym skutkiem oszustw społecznościowych są straty finansowe, ale ryzyko jest znacznie szersze. Ofiary często przekazują przestępcom dane osobowe, informacje bankowe, skany dokumentów lub dostęp do swoich kont. W wielu przypadkach pojedynczy incydent staje się początkiem dalszych nadużyć, takich jak kradzież tożsamości czy kolejne ataki socjotechniczne.

Dla użytkowników indywidualnych zagrożenia obejmują:

• utratę pieniędzy w oszustwach inwestycyjnych i zakupowych,
• kradzież tożsamości,
• przejęcie kont społecznościowych,
• ujawnienie danych wykorzystywanych w kolejnych atakach,
• kompromitację urządzeń lub kont finansowych.

Dla organizacji problem ma dodatkowy wymiar operacyjny. Profile zawodowe i prywatne pracowników mogą być wykorzystywane do phishingu ukierunkowanego, oszustw płatniczych, kampanii BEC oraz działań podszywających się pod markę. W praktyce media społecznościowe stają się elementem łańcucha ataku wymierzonego nie tylko w konsumentów, ale również w firmy.

Rekomendacje

Ograniczenie ryzyka wymaga połączenia środków technicznych, edukacji użytkowników oraz procedur reagowania. Kluczowe znaczenie ma zmniejszenie ekspozycji danych publicznych i ostrożność wobec każdej interakcji finansowej inicjowanej w social media.

Dla użytkowników indywidualnych warto wdrożyć następujące praktyki:

• ograniczyć widoczność danych profilowych, postów i list znajomych,
• weryfikować tożsamość osób kontaktujących się w sprawach finansowych,
• unikać decyzji inwestycyjnych podejmowanych wyłącznie na podstawie rozmów w mediach społecznościowych,
• zachować ostrożność wobec ofert wymagających natychmiastowej płatności lub użycia kryptowalut,
• nie udostępniać ekranu nieznanym osobom,
• stosować MFA oraz silne, unikalne hasła,
• sprawdzać historię firmy, oferty i sygnały ostrzegawcze przed wykonaniem płatności.

Dla organizacji rekomendowane są:

• szkolenia z rozpoznawania socjotechniki inicjowanej przez platformy społecznościowe,
• monitorowanie fałszywych profili podszywających się pod markę,
• procedury zgłaszania prób przejęcia kont i oszustw,
• jasne zasady prowadzenia kontaktów biznesowych poza oficjalnymi kanałami,
• ochrona kont firmowych z użyciem MFA i kontroli dostępu,
• włączenie sygnałów z mediów społecznościowych do procesów threat intelligence i fraud detection.

Podsumowanie

Dane FTC potwierdzają, że media społecznościowe są dziś jednym z najskuteczniejszych kanałów inicjowania oszustw finansowych. Ponad 2,1 mld dolarów strat zgłoszonych w 2025 roku oraz silny wzrost względem 2020 roku pokazują, że problem ma charakter systemowy. Z perspektywy cyberbezpieczeństwa social media należy traktować jako pełnoprawną powierzchnię ataku, wymagającą zarówno zabezpieczeń technologicznych, jak i dojrzałych mechanizmów edukacyjnych oraz operacyjnych.

Źródła

1. Federal Trade Commission – New FTC Data Show People Have Lost Billions to Social Media Scams
   https://www.ftc.gov/news-events/news/press-releases/2026/04/new-ftc-data-show-people-have-lost-billions-social-media-scams
2. BleepingComputer – FTC: Americans lost over $2.1 billion to social media scams in 2025
   https://www.bleepingcomputer.com/news/security/ftc-americans-lost-over-21-billion-to-social-media-scams-in-2025/
3. BleepingComputer – FBI: Americans lost a record $21 billion to cybercrime last year
   https://www.bleepingcomputer.com/news/security/fbi-americans-lost-a-record-21-billion-to-cybercrime-last-year/
4. BleepingComputer – Meta adds new WhatsApp, Facebook, and Messenger anti-scam tools
   https://www.bleepingcomputer.com/news/security/meta-adds-new-whatsapp-facebook-and-messenger-anti-scam-tools/
5. BleepingComputer – WhatsApp adds new security feature to protect against scams
   https://www.bleepingcomputer.com/news/security/whatsapp-adds-new-security-feature-to-protect-against-scams/