Analiza II — Łańcuch dostaw jako infrastruktura. Glassworm i to, czego nie zamknięto.

Dokument towarzyszący Cyberflux Radar #2 — maj 2026

Zmiana definicji, która jest sednem tej analizy

Przez większość ostatniego roku łańcuch dostaw opisywaliśmy jako wektor ataku — drogę, którą atakujący dostaje się do celu. Zatruty pakiet npm, skompromitowane rozszerzenie VS Code, złośliwy plugin DevSecOps. Każdy incydent osobno: cel, droga, ładunek, skutek.

Maj 2026 wymusił inną definicję. Łańcuch dostaw nie jest już drogą do celu. Jest infrastrukturą — fundamentem, na którym całe kampanie się rozgrywają przez miesiące, zanim ktokolwiek zauważy, że pojedyncze incydenty były elementami jednej operacji.

Dowodem jest Glassworm.

Trajektoria: od pojedynczego pakietu do ukrytego tła

Marzec — pierwsze sygnały. TeamPCP i ekosystem open source jako wektor ataku. Contagious Interview w CI/CD. Trivy. Wtedy czytaliśmy to jako „nowy rodzaj ataku na open source": atakujący przestaje celować w pojedynczy pakiet, zaczyna celować w zaufanie do całego ekosystemu.

Kwiecień — eskalacja. PyTorch Lightning, Shai-Hulud przekracza granicę npm. Cztery frameworki AI zaatakowane w jednym miesiącu. Wzorzec: jeden skompromitowany maintainer otwiera drzwi do milionów pobrań. Blast radius rośnie nie dlatego, że błąd jest gorszy, ale dlatego, że to, co jest za nim, jest połączone z wszystkim.

Maj — ujawnienie skali. TanStack z pierwszym złośliwym pakietem o ważnej proweniencji SLSA. TeamPCP wchodzi do GitHub. Nx Console przez jedenaście minut na marketplace. node-ipc przez wygasłą domenę email. TrapDoor przez trzy rejestry naraz. A 26 maja — takedown Glassworm, który pokazał, że spora część tych „osobnych" incydentów dzieliła jedno tło.

Co ujawnił takedown

Glassworm działał od października 2025. Osiem miesięcy. Przez ten czas systematycznie kompromitował deweloperów przez każdy kanał, którym dystrybuują oprogramowanie: ponad 300 zatrutych repozytoriów GitHub, zatrute pakiety npm i Python, trojanizowane rozszerzenia na OpenVSX.

Architektura dowodzenia była zaprojektowana pod odporność na likwidację — i to jest najważniejszy techniczny fakt całej historii. Cztery kanały C2, każdy oparty na innej technologii, każdy wymagający innej instytucji do zamknięcia:

• Solana blockchain — zdecentralizowany, brak serwera do przejęcia
• BitTorrent DHT — miliony węzłów bez centrum
• Google Calendar — legalny serwis, ruch nieodróżnialny od normalnego
• Serwery VPS — tradycyjna warstwa, procedury prawne

Zamknięcie trzech z czterech byłoby bezużyteczne — operatorzy przełączyliby się na czwarty. Dlatego CrowdStrike, Google i Shadowserver musieli uderzyć w cztery kanały jednocześnie, o 14:00:00 UTC. Jedna sekunda wykonania. Osiem miesięcy przygotowań.

To nie jest architektura amatorska. To jest ta sama zasada, którą stosują najlepsi inżynierowie systemów rozproszonych — redundancja, dywersyfikacja, brak pojedynczego punktu awarii — zastosowana do budowy odpornej infrastruktury przestępczej.

Czego nie zamknięto

Tu jest sedno tezy „infrastruktura, nie wektor."

Takedown zamknął cztery kanały komunikacji. Nie zamknął:

Skradzionych poświadczeń. Każdy token GitHub, klucz npm, poświadczenie AWS skradzione przez GlasswormRAT przez osiem miesięcy jest nadal ważny — chyba że został obrócony po infekcji. Operatorzy mają te dane niezależnie od statusu botnetu.

Zainfekowanych maszyn. GlasswormRAT jest nadal na dyskach. Odpytuje teraz sinkhole CrowdStrike pod adresem 164.92.88.210 zamiast serwerów operatorów. Ale jest. Nie wymaga nic, by zmienić adres C2 — wystarczy aktualizacja konfiguracji, gdy pojawi się nowa infrastruktura.

Zatrutych repozytoriów. Ponad 300 repozytoriów GitHub ze złośliwym kodem force-pushowanym do domyślnych gałęzi. Część wyczyszczona, część może nie.

Dlaczego następna wersja prawdopodobnie już powstaje

Każda profesjonalna operacja, która osiągnęła ten poziom sofistykacji architektonicznej, zakłada, że zostanie wykryta. Glassworm nie liczył na wieczną niewidoczność — liczył na wystarczająco długi czas działania, by zebrać, co potrzeba, i na to, że gdy zostanie zamknięty, kolejna iteracja będzie już gotowa.

Trzy przesłanki tej tezy:

Operacja była w fazie eksfiltracji, nie budowania. Osiem miesięcy zbierania poświadczeń to nie dane, które leżą bezczynnie — to surowiec dla następnej kampanii.

Takedown zamknął kanały, nie wyczyścił maszyn. Setki tysięcy zainfekowanych endpointów czeka na nowy adres C2.

Wzorzec sukcesji jest udokumentowany. Przy analizie TeamPCP opisywaliśmy przekazanie kontroli DMT → T00001B w środku aktywnej kampanii. Organizacja, która ma plan sukcesji, to organizacja, która planuje długoterminowo.

Ile czasu zajmuje zbudowanie nowej czterowarstwowej infrastruktury C2 grupie, która zbudowała Glassworm? Prawdopodobnie tygodnie, nie miesiące. Tym razem może z pięcioma kanałami zamiast czterech. Może z IPFS zamiast BitTorrent, Ethereum zamiast Solana.

Dlaczego deweloperzy są celem o najwyższej wartości

CrowdStrike ujął to zdaniem, które jest tezą całej kategorii: przeciwnicy nie celują już w produkty — celują w deweloperów, którzy je budują.

Jeden skompromitowany deweloper to dostęp do: kodu, który buduje; infrastruktury, którą zarządza (AWS, Azure, GCP, Kubernetes); narzędzi, których używa (npm, PyPI — możliwość zatruwania); organizacji, dla której pracuje (przez skradzione tokeny i certyfikaty); deweloperów, z którymi współpracuje (przez zatrutą historię commitów).

To nie jest pojedynczy cel. To jest węzeł w grafie zaufania, którego kompromitacja propaguje się we wszystkich kierunkach.

Co to znaczy dla czerwca

Łańcuch dostaw traktuj jak infrastrukturę przeciwnika, nie jak listę incydentów do odhaczenia.

Praktyczne konsekwencje:

Monitoruj połączenia do 164.92.88.210. Każde wychodzące = zainfekowana maszyna z Glassworm, niezależnie od takedownu.

Audytuj rozszerzenia IDE i pliki konfiguracyjne AI jako stały element higieny. VS Code, Cursor, JetBrains — to były wektory maja i pozostaną wektorami czerwca.

Rotuj poświadczenia po każdym incydencie z listy majowej, nawet jeśli „już naprawione". Naprawiony pakiet w lockfile nie oznacza, że skradzione tokeny przestały być ważne.

Załóż, że pojedynczy incydent supply chain, który zobaczysz w czerwcu, może być widoczną częścią operacji, która działa od miesięcy. Pytanie nie brzmi „co ten pakiet robi", tylko „częścią czego ten pakiet jest".

Wróć do Cyberflux Radar #2 · Powiązane analizy: „Trajektoria AI", „Polski akcent"

Analiza III — Polski akcent. Dwie prędkości tego samego miesiąca.

Dokument towarzyszący Cyberflux Radar #2 — maj 2026

Teza: dwie prędkości naraz

Maj 2026 globalnie był miesiącem, w którym AI przepisało tempo bezpieczeństwa. Mythos w siedem tygodni, pierwszy AI zero-day, Glasswing z dziesięcioma tysiącami podatności. Tempo maszynowe po obu stronach.

Lokalnie, w polskim oprogramowaniu, ten sam maj wyglądał zupełnie inaczej. Biblioteka weryfikacji podpisu kwalifikowanego, która zwraca „pozytywnie zweryfikowano" dla certyfikatu o nieokreślonym statusie zaufania. System z SQL injection, słabym algorytmem haseł i nieszyfrowanym TCP — wszystkie trzy naraz. Path traversal w rozpakowywaniu archiwum. Ominięcie uwierzytelnienia przez interakcję z powiadomieniem push.

To nie są dwie różne rzeczywistości. To jest jedna rzeczywistość o dwóch prędkościach — i druga prędkość jest groźniejsza, niż się wydaje, bo jest bliżej.

CVE-2026-9058: „zweryfikowano", którego nikt nie sprawdził

Najważniejsza polska podatność maja zasługuje na pełne opisanie, bo jest doskonałą ilustracją tej drugiej prędkości.

Szafir SDK to biblioteka Krajowej Izby Rozliczeniowej — silnik weryfikacji kwalifikowanego podpisu elektronicznego używany przez e-ZUS, e-Sąd i systemy e-Zdrowia. Gdy biblioteka napotykała certyfikat, którego łańcucha zaufania nie dało się ustalić, zwracała kod Result/@code == 0. Zero. „Pozytywnie zweryfikowano."

Aplikacje czytały ten kod. Widziały zero. Interpretowały jako sukces. Podpis z certyfikatem o nieokreślonym statusie — który nigdy nie powinien przejść weryfikacji — był traktowany jako prawidłowy.

Klasa błędu: CWE-393, Return of Wrong Status Code. Znana od dekad, opisana w każdym podręczniku bezpiecznego programowania. Nie wymyślny atak — błąd w odczytywaniu wyniku weryfikacji, w bibliotece, przez którą przechodzą dane milionów Polaków.

113 dni od zgłoszenia do pełnej naprawy (wersja 463). W tym samym tygodniu CERT Polska opublikował trzy kolejne CVE w tym samym ekosystemie Szafir. Jeden niezależny badacz — Michał Leszczyński — cztery podatności w jednej infrastrukturze w jednym miesiącu. To jest obraz infrastruktury, która długo nie była sprawdzana przez kogoś, kto wiedział, gdzie patrzeć.

Pełniejszy obraz: dziewięć koordynacji

Maj był po stronie CERT Polska wyjątkowo gęsty. Najważniejsze pozycje:

Szafir SDK (CVE-2026-9058, krytyczna) — błędna weryfikacja podpisu w e-administracji.

STER (CVE-2026-25606 do 25608) — trzy podatności naraz: SQL injection w filtrach wyszukiwania, słaby algorytm kodowania haseł (możliwy do odgadnięcia po analizie znanych wartości), nieszyfrowany ruch TCP umożliwiający atak man-in-the-middle.

Comarch ERP Optima (CVE-2025-68420/21) — dwie podatności w popularnym systemie ERP używanym przez tysiące polskich firm.

Slican (CVE-2026-35087+) — trzy podatności w centralach telefonicznych.

AdaptiveGRC (CVE-2026-4313) — Stored XSS umożliwiający przejęcie tokenu administratora; zgłoszone przez badacza z mBanku.

Verint Verba (CVE-2026-21730) — Stored XSS w mechanizmie logowania prób logowania; zgłoszone przez badacza z STM Cyber.

QuickCMS (CVE-2026-33384/86), EAP Legislator (CVE-2026-1186, path traversal), Kidsview (CVE-2026-8990, ominięcie uwierzytelnienia).

Co te podatności mają wspólnego

Nie klasę błędu — klasy są różne: SQL injection, XSS, path traversal, błędna weryfikacja, słaba kryptografia. Wspólne jest co innego: wszystkie są podstawowymi błędami, których nie ma w globalnej narracji maja o ofensywnym AI i tempie maszynowym.

To jest druga prędkość. Gdy globalnie dyskutujemy o tym, czy Mythos powinien być dostępny dla wszystkich, lokalnie wciąż łatamy SQL injection w filtrach wyszukiwania i bibliotekę, która mówi „zweryfikowano", nie weryfikując.

Łatwo to zlekceważyć jako „zacofanie". To byłby błąd. Te podatności są groźniejsze niż globalne nagłówki z trzech powodów.

Dlaczego druga prędkość jest groźniejsza

Po pierwsze — bliskość. STER, Szafir, Comarch, Slican to systemy, których używają polskie firmy, urzędy i obywatele codziennie. Globalny AI zero-day z raportu GTIG jest abstrakcyjny dla polskiej firmy średniej wielkości. SQL injection w systemie, który ma wdrożony u siebie, nie jest.

Po drugie — te same dane, które wyciekają. CVE-2026-9058 wymagał do eksploitacji tylko jednego: danych identyfikacyjnych ofiary (PESEL, imię, nazwisko). W Polsce te dane wyciekają regularnie. Bariera wejścia do podszywania się pod obywatela w e-administracji nie była techniczna — była informacyjna, a ta informacja jest powszechnie dostępna.

Po trzecie — AI działa po obu stronach tej prędkości. Te same modele, które globalnie znajdują osiemnastoletnie błędy w nginx, równie skutecznie znajdą SQL injection w polskim oprogramowaniu, gdy ktoś je na nie skieruje. Druga prędkość nie jest chroniona przez to, że jest lokalna. Jest tylko mniej widoczna — do momentu, gdy ktoś spojrzy.

Co odróżnia ten wątek

Żaden globalny serwis nie pokaże polskiej drugiej prędkości. CERT Polska publikuje komunikaty po polsku, dla polskich systemów, o polskim oprogramowaniu, którego globalne media nie śledzą. To jest nisza, którą wypełnia wyłącznie polskojęzyczne źródło — i dane analytics cyberflux to potwierdzają: polskie tematy przyciągają czytelników, których nie przyciągnie żaden wpis o globalnej kampanii, bo ci czytelnicy szukają po polsku.

Co to znaczy dla czerwca

Jeśli zarządzasz polskim oprogramowaniem lub używasz systemów krajowych:

Zaktualizuj Szafir SDK do wersji 463+, jeśli integrujesz weryfikację podpisu kwalifikowanego we własnych aplikacjach. e-ZUS, e-Sąd i e-Zdrowie zostały już zaktualizowane przez operatorów.

Traktuj polskie oprogramowanie biznesowe (ERP, CMS, centrale telefoniczne) jak każdą inną powierzchnię ataku wymagającą aktywnego zarządzania bezpieczeństwem — nie jak „nasz wewnętrzny system, którego nikt nie zna". Bezpieczeństwo przez niewidoczność kończy się w momencie, gdy ktoś skieruje na nie AI.

Śledź komunikaty CERT Polska jako osobne źródło. Druga prędkość ma własny kanał informacyjny i własną listę priorytetów — i jest bliżej Twojej infrastruktury niż globalne nagłówki.

Załóż, że dane identyfikacyjne Twoich użytkowników są już w obiegu. Projektuj weryfikację tożsamości tak, by sam PESEL i nazwisko nie wystarczały — bo dla atakującego nie są tajemnicą.

Wróć do Cyberflux Radar #2 · Powiązane analizy: „Trajektoria AI", „Łańcuch dostaw jako infrastruktura"