Ostatni tydzień marca i pierwszy tydzień kwietnia przyniosły serię zdarzeń, które w normalnych okolicznościach wystarczyłyby na cały kwartał. Północnokoreańscy hakerzy przeprowadzili dwa niezależne, wielomiesięczne ataki — jeden na infrastrukturę DeFi (Drift Protocol, $285 mln strat), drugi na łańcuch dostaw npm (Axios, ~100 mln pobrań tygodniowo). Fortinet wydał awaryjne łatki na aktywnie eksploatowany zero-day w FortiClient EMS, Google załatał już czwarty w tym roku zero-day w Chrome, a FBI oficjalnie zakwalifikowało włamanie do swojego systemu podsłuchowego jako „major incident”. Do tego dochodzi wyciek exploita BlueHammer na Windows, nowy atak GPUBreach wykorzystujący pamięć GDDR6 oraz 37-krotny wzrost ataków device code phishing na Microsoft 365. Poniżej — pełne zestawienie z konkretnymi zaleceniami ochronnymi.

---

1. Drift Protocol — $285 mln skradzione przez północnokoreańską grupę UNC4736

Co się stało?

1 kwietnia 2026 r. hakerzy opróżnili Drift Protocol — największą zdecentralizowaną giełdę kontraktów perpetual na Solanie — z 285 milionów dolarów w aktywach użytkowników. Cała operacja trwała 12 minut, ale przygotowania zaczęły się jesienią 2025 roku. Atakujący zastosowali wieloetapowy social engineering wobec sygnatariuszy multisig, nakłaniając ich do podpisania ukrytych autoryzacji. Następnie wykorzystali zerowy timelock migracji Security Council i stworzyli fałszywy token (CarbonVote Token), który wyrocznie Drift potraktowały jako legalne zabezpieczenie warte setki milionów. Atak przypisano z umiarkowaną pewnością grupie UNC4736 (aka AppleJeus / Citrine Sleet / Gleaming Pisces), powiązanej z KRLD.

Dlaczego to jest ważne?

To drugi co do wielkości exploit w historii Solany (po Wormhole bridge, $326 mln, 2022) i największy hack DeFi w 2026 roku. Pokazuje, że najsłabszym ogniwem w zdecentralizowanych finansach nie jest kod smart contractu, lecz ludzie zarządzający kluczami.

Jak się chronić?

Projekty DeFi powinny wdrożyć timelocks na operacjach governance, stosować wielopoziomową weryfikację tożsamości sygnatariuszy multisig (np. wideo w czasie rzeczywistym) oraz regularnie audytować mechanizmy orakuli pod kątem manipulacji ceną syntetycznych aktywów.

---

2. Supply chain attack na Axios — backdoor WAVESHAPER.V2 w npm

Co się stało?

Między 31 marca a 3 kwietnia, północnokoreańska grupa UNC1069 przeprowadziła atak na łańcuch dostaw pakietu Axios w npm — najpopularniejszej biblioteki JavaScript do obsługi żądań HTTP (~100 mln pobrań tygodniowo, obecna w ok. 80% środowisk chmurowych). Atakujący podszyli się pod założyciela znanej firmy technologicznej, sklonowali jego wizerunek i stworzyli realistyczną przestrzeń Slack z kanałami udostępniającymi posty LinkedIn. Po zdobyciu zaufania maintainera Jasona Saaymana, wprowadzili złośliwą zależność „plain-crypto-js” do wersji 1.14.1 i 0.30.4 Axiosa. Ta zależność to zaciemniony dropper instalujący backdoor WAVESHAPER.V2 na Windows, macOS i Linux. Zainfekowane wersje były dostępne przez ok. 3 godziny, zanim je usunięto.

Dlaczego to jest ważne?

Axios to fundament milionów aplikacji webowych. Nawet 3-godzinne okno ekspozycji przy 100 mln pobrań tygodniowo oznacza potencjalnie dziesiątki tysięcy skompromitowanych środowisk. Google (Mandiant) formalnie przypisał atak grupie UNC1069.

Jak się chronić?

Sprawdź, czy w swoich projektach nie korzystasz z wersji Axios 1.14.1 lub 0.30.4 — jeśli tak, natychmiast zaktualizuj. Wdróż lockfile i weryfikację integralności pakietów (npm audit, Snyk, Socket). Rozważ stosowanie prywatnych rejestrów npm z whitelistą dozwolonych wersji.

---

3. CVE-2026-35616 — krytyczny zero-day w FortiClient EMS (CVSS 9.1–9.8)

Co się stało?

Fortinet wydał awaryjne łatki (hotfixy) na krytyczną lukę CVE-2026-35616 w FortiClient Enterprise Management Server (EMS). Podatność to obejście uwierzytelniania i autoryzacji API (improper access control), pozwalające nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu poprzez spreparowane żądania. Dotyczy wersji 7.4.5 i 7.4.6 (gałąź 7.2 nie jest zagrożona). Pierwsze próby eksploitacji zaobserwowano 31 marca. CISA dodała CVE-2026-35616 do katalogu Known Exploited Vulnerabilities (KEV) 6 kwietnia, nakazując agencjom federalnym załatanie do wyznaczonego terminu.

Dlaczego to jest ważne?

FortiClient EMS to centralny system zarządzania endpointami Fortinet — kompromitacja tego komponentu daje atakującemu kontrolę nad całą flotą urządzeń klienckich. Podatność jest aktywnie eksploatowana in-the-wild.

Jak się chronić?

Natychmiast zainstaluj hotfixy dostarczone przez Fortinet. Jeśli aktualizacja nie jest możliwa od razu, ogranicz dostęp sieciowy do interfejsu zarządzania FortiClient EMS wyłącznie do zaufanych adresów IP. Monitoruj logi pod kątem nietypowych żądań API.

---

4. CVE-2026-5281 — czwarty w 2026 r. zero-day w Google Chrome

Co się stało?

Google wydał awaryjną aktualizację Chrome, naprawiając lukę CVE-2026-5281 — błąd use-after-free w Dawn (implementacja standardu WebGPU). Podatność była aktywnie eksploatowana w atakach. CISA dodała ją do katalogu KEV 1 kwietnia, wyznaczając agencjom FCEB termin naprawy na 15 kwietnia 2026.

Dlaczego to jest ważne?

To już czwarty zero-day w Chrome w 2026 roku. Dawn/WebGPU to stosunkowo nowa powierzchnia ataku — jej eksploitacja sugeruje, że grupy APT aktywnie poszukują luk w nowoczesnych API graficznych przeglądarek.

Jak się chronić?

Zaktualizuj Chrome do najnowszej wersji (sprawdź: chrome://settings/help). W środowiskach korporacyjnych wymuś automatyczne aktualizacje przeglądarki przez GPO lub MDM. Rozważ wyłączenie WebGPU (flag #enable-unsafe-webgpu) na stanowiskach o podwyższonym ryzyku do czasu pełnej oceny zagrożenia.

---

5. FBI klasyfikuje włamanie do systemu podsłuchowego jako „major incident”

Co się stało?

FBI oficjalnie uznało włamanie do sieci DCSNet (Digital Collection System Network) — systemu zarządzającego podsłuchami sądowymi i wnioskami FISA — za „major incident” w rozumieniu ustawy z 2014 r. Dochodzenie w sprawie nieprawidłowej aktywności w sieci rozpoczęto 17 lutego. 23 marca Departament Sprawiedliwości podjął decyzję o eskalacji. Śledztwo koncentruje się na grupie Salt Typhoon, powiązanej z chińskim Ministerstwem Bezpieczeństwa Państwowego (MSS). Skompromitowany komponent to DCS-3000 (Red Hook) — niejawna warstwa systemu służąca do przetwarzania danych z elektronicznej inwigilacji. Atakujący wykorzystali infrastrukturę komercyjnego dostawcy usług internetowych.

Dlaczego to jest ważne?

Kompromitacja systemu podsłuchowego FBI to zagrożenie o wymiarze bezpieczeństwa narodowego. Ujawnione dane mogą obejmować numery telefonów celów inwigilacji, co potencjalnie naraża toczące się operacje wywiadowcze i śledztwa.

Jak się chronić?

Dla organizacji: audytuj łańcuchy dostaw dostawców telekomunikacyjnych i ISP. Wdrażaj segmentację sieci i architekturę zero trust, szczególnie w systemach przetwarzających dane wrażliwe. Monitoruj ruch sieciowy pod kątem anomalii wskazujących na lateral movement.

---

6. BlueHammer — wyciek zero-day exploita na Windows

Co się stało?

3 kwietnia badacz o pseudonimie Chaotic Eclipse opublikował na GitHubie repozytorium z exploitem „BlueHammer” — zero-day na Windows. Badacz wyrażał frustrację wobec sposobu, w jaki Microsoft potraktował zgłoszoną podatność. Wyciek sprawił, że działający exploit stał się publicznie dostępny, zanim Microsoft zdążył wydać pełną łatkę.

Dlaczego to jest ważne?

Publiczne udostępnienie exploita na niezałataną podatność Windows dramatycznie skraca czas, jaki mają obrońcy na reakcję. Każdy cyberprzestępca z podstawowymi umiejętnościami technicznymi może teraz wykorzystać tę lukę.

Jak się chronić?

Śledź komunikaty Microsoft Security Response Center pod kątem publikacji łatki. W międzyczasie stosuj się do zaleceń mitygacyjnych (workarounds), jeśli Microsoft je opublikował. Wzmocnij monitoring endpointów (EDR) pod kątem sygnatur powiązanych z BlueHammer.

---

7. GPUBreach — nowy atak Rowhammer na pamięć GDDR6 kart graficznych

Co się stało?

Badacze opisali nowy atak o nazwie GPUBreach, który indukuje bit-flipy Rowhammer w pamięci GDDR6 kart graficznych. W efekcie atakujący może eskalować uprawnienia i przejąć pełną kontrolę nad systemem. To pierwsze udokumentowane przeniesienie techniki Rowhammer z pamięci RAM (DRAM) na pamięć GPU.

Dlaczego to jest ważne?

Karty graficzne — szczególnie w środowiskach AI/ML i centrach danych — przetwarzają ogromne wolumeny danych. Jeśli GPUBreach okaże się praktycznie eksploatowalny w scenariuszach produkcyjnych, otworzy zupełnie nowy wektor ataków na infrastrukturę obliczeniową.

Jak się chronić?

Na chwilę obecną atak ma charakter badawczy. Producenci GPU (NVIDIA, AMD) powinni wdrożyć mechanizmy ECC w pamięci GDDR6/GDDR7. Administratorzy środowisk HPC/AI: monitorujcie komunikaty producentów kart graficznych i aktualizujcie firmware GPU.

---

8. Device code phishing — 37-krotny wzrost ataków na Microsoft 365

Co się stało?

Ataki typu device code phishing, nadużywające mechanizmu OAuth 2.0 Device Authorization Grant do przejmowania kont, wzrosły 37-krotnie od początku 2026 roku. Kampanie uderzyły w ponad 340 organizacji korzystających z Microsoft 365 w pięciu krajach. Atakujący wykorzystują LLM do generowania kodów uwierzytelniających na żądanie i automatyzacji całego procesu end-to-end. W obiegu jest co najmniej 11 phishing kitów oferujących ten typ ataku, w tym nowy „EvilTokens” sprzedawany w modelu PhaaS (Phishing-as-a-Service) od połowy lutego 2026.

Dlaczego to jest ważne?

Device code phishing omija tradycyjne MFA — ofiara sama autoryzuje dostęp na swoim urządzeniu, nie wiedząc, że podaje swoje tokeny atakującemu. To ewolucja od MFA bombing do bardziej wyrafinowanego wektora, który jest trudniejszy do wykrycia.

Jak się chronić?

Ogranicz lub wyłącz Device Code Flow w Azure AD/Entra ID (Conditional Access → Block device code flow). Wdróż phishing-resistant MFA (FIDO2, passkeys). Edukuj użytkowników, że żadna legalna usługa nigdy nie poprosi o wpisanie kodu urządzenia na stronie microsoft.com/devicelogin w odpowiedzi na niespodziewaną wiadomość.

---

9. Medusa Ransomware — chińska grupa Storm-1175 atakuje z użyciem zero-dayów

Co się stało?

Microsoft ujawnił, że grupa Storm-1175 — chiński aktor motywowany finansowo — wdraża ransomware Medusa z wykorzystaniem luk zero-day i n-day w atakach o dużej prędkości. Główne cele: organizacje z sektorów opieki zdrowotnej, edukacji, usług profesjonalnych i finansów. Grupa stosuje taktykę „high-velocity” — od exploitacji do zaszyfrowania danych mija minimalna ilość czasu, co utrudnia reakcję zespołom SOC.

Dlaczego to jest ważne?

Połączenie zero-dayów z ransomware to jeden z najgroźniejszych scenariuszy — organizacje nie mają czasu na załatanie luki, zanim zostanie wykorzystana do szyfrowania ich danych. Sektor opieki zdrowotnej jest szczególnie narażony ze względu na krytyczność systemów i presję na szybkie odzyskiwanie danych.

Jak się chronić?

Wdróż segmentację sieci, by ograniczyć zasięg lateral movement. Utrzymuj offline’owe kopie zapasowe z regularnie testowanym procesem odtwarzania. Monitoruj IoC powiązane ze Storm-1175 (Microsoft Threat Intelligence publikuje szczegółowe wskaźniki). Priorytetyzuj patching — szczególnie na urządzeniach brzegowych (firewalle, VPN, EMS).

---

10. NIS2 wchodzi w fazę egzekwowania — Komisja Europejska upraszcza raportowanie incydentów

Co się stało?

Dyrektywa NIS2 przeszła z fazy transpozycji do fazy egzekwowania. Niemcy, Portugalia i Austria przyjęły już krajowe ustawy wdrażające, a Francja, Hiszpania i Polska finalizują prace legislacyjne. 20 stycznia 2026 Komisja Europejska zaproponowała pakiet zmian upraszczających NIS2: ujednolicenie zasad jurysdykcyjnych, usprawnienie zbierania danych o atakach ransomware i wzmocnienie koordynacyjnej roli ENISA. Kluczowa zmiana to zasada „report once, share many” — jedno zgłoszenie incydentu ma pokrywać wymogi NIS2, GDPR, eIDAS, DORA i CER Directive.

Dlaczego to jest ważne?

Dla firm operujących w UE NIS2 to już nie „regulacja, do której się przygotowujemy” — to obowiązujące prawo z realnymi sankcjami. Uproszczenie raportowania zmniejsza obciążenie administracyjne, ale nie zwalnia z obowiązku posiadania procedur zarządzania incydentami.

Jak się chronić?

Zweryfikuj, czy Twoja organizacja podlega NIS2 (sektory kluczowe i ważne). Wdróż lub zaktualizuj procedury zgłaszania incydentów zgodnie z wymogami krajowej ustawy implementującej. Wyznacz osoby odpowiedzialne za kontakt z organem nadzorczym. Przeprowadź gap analysis wobec wymagań technicznych i organizacyjnych NIS2.

---

Podsumowanie

Tydzień 31 marca – 7 kwietnia 2026 r. dobitnie pokazał, że atakujący operują szybciej niż kiedykolwiek. Exploitacja luk wyprzedziła phishing jako główny wektor inicjalnego dostępu. Supply chain attacks osiągnęły skalę, w której pojedyncza skompromitowana biblioteka npm może zagrozić milionom środowisk. A grupy APT sponsorowane przez państwa (KRLD, Chiny) równolegle prowadzą operacje na frontach DeFi, enterprise software i infrastruktury krytycznej.

Twoja jedyna rozsądna odpowiedź: aktualizuj systemy natychmiast po publikacji łatek, weryfikuj łańcuchy dostaw oprogramowania i traktuj każdy komponent brzegowy (firewall, VPN, EMS) jako potencjalny punkt wejścia.

---

Źródła: BleepingComputer, The Hacker News, CyberScoop, Help Net Security, Bloomberg, Google Cloud Blog, Microsoft Security Blog, CISA KEV Catalog, SecurityWeek

Wypełnij formularz, a w ciągu 24h skontaktujemy się z Tobą w sprawie audytu Twojej strony www, firmy lub instytucji.

Dlaczego warto zamówić audyt cyberbezpieczeństwa?

Twoja strona www, poczta i systemy IT to serce Twojego biznesu lub instytucji. Wystarczy jedna luka bezpieczeństwa, by dane klientów, uczniów czy beneficjentów trafiły w niepowołane ręce.

Audyt cyberbezpieczeństwa White Cyber pozwoli Ci:

• sprawdzić zabezpieczenia strony www, systemów i procesów,

• wykryć błędy konfiguracyjne i luki w politykach bezpieczeństwa,

• otrzymać raport ryzyk i plan napraw 30/60/90 dni,

• przygotować się na wymagania RODO, NIS2 i ISO 27001.

Co się dzieje po wypełnieniu formularza?

1. W ciągu 24 godzin skontaktujemy się z Tobą telefonicznie lub mailowo.
2. Ustalimy zakres audytu (podstawowy – strona www, lub rozszerzony – cała organizacja).
3. Po audycie otrzymasz raport i gotowe rekomendacje działań.

Nie ryzykuj kar i utraty reputacji. Zabezpiecz swoją organizację z White Cyber.