The Hacker News | #1 Trusted Source for Cybersecurity News

Červ ukrytý v npm balíčku osm měsíců. Vaše továrna nebo elektrárna ho možná právě spouští.

Vývojáři to vědí. Správci OT systémů to vědí. Regulátoři to vědí. Přesto se zásobovací řetězce softwaru stávají stále oblíbenějším vstupním bodem pro útočníky — a energetický sektor si to právě bolestivě uvědomuje.

V červnu 2026 výzkumníci z bezpečnostní komunity odhalili dvě nové malwarové kampaně cílené přímo na ekosystém npm: IronWorm a nová varianta staršího červa Miasma. Oba balíčky maskovaly škodlivý kód pod rouškou legitimních vývojářských nástrojů. IronWorm se vydával za pomocnou knihovnu pro práci s průmyslovými protokoly (Modbus, DNP3), Miasma zneužívala název populárního logovacího frameworku. Podle zpráv The Hacker News šly oba pakety tisícům stažení dříve, než je registry npm odstranila.

To není náhoda. Je to strategie.

Zásobovací řetězec softwaru: nejslabší článek průmyslové bezpečnosti

Útoky na zásobovací řetězce (supply chain attacks) jsou pro útočníky nesmírně efektivní z jednoho prostého důvodu: místo toho, aby lámali zeď, proplíží se dveřmi, které jim oběť dobrovolně otevře. Instalace npm balíčku je dnes rutinní operace. DevOps inženýr spustí `npm install`, aniž by se na 30 vteřin zamyslel nad tím, co vlastně stahuje.

V případě OT prostředí — tedy průmyslových řídicích systémů, SCADA platforem, PLC programátorů — je situace ještě vyhrocenější. Moderní průmyslové projekty stále více závisí na JavaScriptových a Python nástrojích pro konfiguraci, vizualizaci dat a integraci s cloudovými platformami. Inženýr programující HMI rozhraní pro solární elektrárnu nebo bateriové úložiště dnes běžně sáhne po npm balíčku pro parsování Modbus dat. A právě tam na něj IronWorm čekal.

Podle dat společnosti Sonatype, která sleduje bezpečnost open-source zásobovacích řetězců, bylo v roce 2025 v npm ekosystému identifikováno přes 512 000 škodlivých balíčků — nárůst 156 % oproti roku 2024. Z toho zhruba 8 % cílilo specificky na průmyslové protokoly nebo energetické aplikace. To číslo před třemi lety prakticky neexistovalo.

Zranitelnost není jen technická. Je procesní. Organizace v energetickém sektoru mají obvykle přísné procesy pro fyzický přístup k systémům, ale softwarové závislosti procházejí velmi benevolentní kontrolou. Audit třetích stran? Málokde. Lockfile pinning? Výjimka spíš než pravidlo. Software Composition Analysis (SCA) nástroje? V průmyslovém prostředí spíše rarita.

Pokud provozujete IoT monitoring nebo systémy pro správu flexibility — podívejte se na IoT monitoring SmartEnergyShare a zjistěte, jaké bezpečnostní standardy by vaše platforma měla splňovat.

IronWorm a Miasma: anatomie útoku

IronWorm fungoval jako klasický typosquatting útok kombinovaný s dependency confusion. Útočníci zaregistrovali balíček s názvem nápadně podobným legitimní knihovně pro průmyslový protokol Modbus. Jakmile byl balíček nainstalován, spustil se postinstalační skript, který:

Zjistil operační systém a síťové rozhraní
Vyhledal lokálně dostupné Modbus TCP porty (standardně port 502)
Odeslal „beacon" na C2 server útočníků s mapou dostupných zařízení
Vytvořil perzistentní backdoor pomocí scheduled task (Windows) nebo systemd timer (Linux)

Celý proces proběhl tiše, bez viditelných projevů. Oběť pracovala dál. Útočníci mezitím získali mapu průmyslové sítě.

Miasma (nová varianta) šla ještě dál. Původní Miasma z roku 2023 byla relativně primitivní — sbírala přihlašovací údaje z prohlížeče. Nová varianta přidala modul specificky zaměřený na OT prostředí: hledala konfigurační soubory SCADA systémů (Ignition, WinCC, InTouch), exportovala databáze tagů a projektové soubory, a pokusila se o lateral movement do průmyslové sítě přes nalezené přihlašovací údaje.

Klíčový technický detail: oba červy využívaly obfuskaci přes eval() řetězení a dynamické načítání kódu z CDN, což jim umožnilo projít základními statickými analýzami. npm auditní systém je zachytil až díky behaviorální analýze — když si bezpečnostní výzkumníci všimli neobvyklého síťového provozu z testovacích prostředí.

Tento typ útoku připomíná incident SolarWinds z roku 2020, ale v menším měřítku a s přímým zaměřením na průmyslová prostředí. Cíl není kompromitovat tisíce korporátních sítí — cíl je infiltrovat pět klíčových energetických provozovatelů a tam počkat.

OT systémy v hledáčku: energetika platí nejvyšší cenu

Proč energetika? Jednoduše: kombinace dopadů je nejničivější. Výpadek výroby elektřiny nebo porucha řízení distribuční soustavy má okamžité, měřitelné a politicky citlivé následky. Útočník, který drží v ruce přístup k SCADA systému elektrárny, drží v ruce páku.

Společnost Dragos, specializující se na OT bezpečnost, ve svém Industrial Cybersecurity Year in Review 2025 identifikovala 23 aktivních hrozebných skupin (threat groups) zaměřených na průmyslové řídicí systémy. Z toho osm cílí specificky na energetický sektor. Nejaktivnější — označována jako VOLTZITE (dříve Volt Typhoon) — je spojována s čínskou státní skupinou a v posledních 18 měsících systematicky mapovala americkou a evropskou energetickou infrastrukturu.

V Evropě je situace specifická. Kombinace Ruskem vyvolané energetické krize, rychlé integrace obnovitelných zdrojů a relativně zastaralé OT infrastruktury vytváří nebezpečnou kombinaci. Nové FVE elektrárny a bateriová úložiště jsou sice technologicky moderní — ale jejich integrace do starší SCADA infrastruktury vytváří hybridní prostředí, kde OT a IT sítě přestávají být oddělené.

A právě tam útočníci hledají skuliny.

Bezpečnostní incident v Dánsku v říjnu 2023 je názorný příklad. Útočníci kompromitovali 22 energetických společností prostřednictvím nezaplátované zranitelnosti v průmyslovém firewallu Zyxel. Nenastala katastrofa — bezpečnostní tým včas zasáhl — ale útok odhalil, jak rychle se horizontálně pohybovat po průmyslové síti, pokud perimetrová ochrana selže.

Podobná situace hrozí u systémů pro obchodování s flexibilitou a SVR služby, kde komunikace s operátorem přenosové soustavy probíhá přes sítě, které nejsou vždy dostatečně segmentované.

NUKIB varuje: česká kritická infrastruktura není imunní

NUKIB (Národní úřad pro kybernetickou a informační bezpečnost) vydal v roce 2025 hned tři varovné zprávy zaměřené na energetický sektor. Klíčové závěry:

Česká republika eviduje nárůst sofistikovaných průzkumných operací vůči provozovatelům kritické infrastruktury, zejména v energetice a vodárenství. Útočníci se primárně zaměřují na phishing cílený na OT administrátory, zranitelnosti ve vzdáleném přístupu (VPN, RDP, TeamViewer) a supply chain útoky přes dodavatele softwaru.

Dle NUKIB reportu z února 2026 byl v roce 2025 zaznamenán nárůst bezpečnostních incidentů v energetice o 34 % oproti roku 2024. Z toho přibližně 40 % incidentů bylo klasifikováno jako „průzkum nebo příprava" — útočníci sbírali informace, ale zatím nepřistoupili k destruktivní fázi.

To je v souladu s globálním trendem. Západ se po útocích na Colonial Pipeline (2021) a na dánské elektrárny (2023) poučil, že útočníci — zejména státní aktéři — upřednostňují pre-positioning: infiltraci, kartografování sítě a instalaci backdoorů. Destruktivní fáze přichází ve chvíli eskalace geopolitického napětí.

Doporučení NUKIB zahrnují: - Implementaci IEC 62443 jako základního bezpečnostního rámce pro OT prostředí - Oddělení OT a IT sítí (network segmentation, unidirectional gateways) - Pravidelné penetrační testy průmyslových systémů s OT specializací - Monitorování chování síťového provozu v průmyslové síti (OT NDR)

Plná metodika je dostupná na webu NUKIB.

Dragos a průmyslová bezpečnost: co skutečně funguje

Dragos je v OT bezpečnosti něco jako Mandiant v IT světě — kombinace threat intelligence, incident response a platformy pro monitoring průmyslových sítí. Jejich přístup je praktický a zaslouží si pozornost.

Klíčový koncept: OT-native monitoring. Klasické IT bezpečnostní nástroje (SIEMy, EDR) jsou v průmyslovém prostředí prakticky nepoužitelné. Průmyslové protokoly (Modbus, DNP3, IEC 61850, EtherNet/IP) jsou pro ně černá skříňka. Dragos Platform a konkurenční řešení jako Claroty, Nozomi Networks nebo Microsoft Defender for IoT umí tyto protokoly „mluvit" a detekovat anomálie v průmyslové komunikaci.

Příklad z praxe: útočník přistoupí k PLC a začne posílat neobvyklé příkazy — zvýšení výkonu za provozní limity, změna konfigurace ochranných relé. Klasický SIEM toto nevidí. OT-native monitoring to detekuje jako odchylku od baseline chování a vydá alert.

Pro provozovatele bateriových úložišť a virtuálních elektráren je relevantní také monitoring BESS komunikace — systémy pro správu baterií (BMS) jsou stále častěji terčem útoků, protože kompromitace BMS může vést k nebezpečnému přetížení nebo naopak neplánovanému vybití baterie v nevhodný moment.

Více o bezpečnostních aspektech bateriových technologií najdete na BESS Global Blog, kde jsou pravidelně publikovány analýzy průmyslové bezpečnosti v kontextu ukládání energie.

Jak se bránit: praktická doporučení pro energetický sektor

Teorie je hezká. Praxe je jiná — provozovatelé FVE, bateriových úložišť nebo distribučních sítí mají omezené bezpečnostní rozpočty a IT/OT tým čítající třeba tři lidi. Co tedy prioritizovat?

Zaprvé: software composition analysis (SCA). Pokud váš tým používá open-source knihovny — a dnes to dělá každý — nasaďte nástroje jako Snyk, OWASP Dependency-Check nebo GitHub Dependabot. Zachytí kompromitované balíčky dříve, než se dostanou do produkce. Náklady: nízké. Efekt: vysoký.

Zadruhé: network segmentation. OT síť musí být fyzicky nebo logicky oddělena od IT sítě. Jump server (bastion host) jako jediný kontrolovaný přístupový bod. Unidirectional Security Gateway (datová dioda) pro přenos dat z OT do IT bez možnosti zpětného toku. Toto je standard, ne luxus.

Zatřetí: asset inventory. Nemůžete chránit to, o čem nevíte. Kompletní inventář všech OT zařízení, firmware verzí a komunikačních cest je předpoklad pro jakoukoliv smysluplnou bezpečnost. Nástroje jako Dragos Platform, Claroty nebo i open-source Nmap/Shodan skenování interní sítě vám dají základní obraz.

Začtvrté: patch management pro OT. Ano, vím — v průmyslovém prostředí je patching noční můra. Výrobní výpadek kvůli update je nepřijatelný. Ale zranitelnosti jako Zyxel CVE-2023-28771 (použitá v dánském útoku) byly záplatovány měsíce před tím, než útočníci zahájili kampaň. Vendor-supported patch windows existují a je nutné je využívat.

Zapáté: incident response plán specifický pro OT. Obecný IT incident response plán je pro průmyslové prostředí nedostatečný. OT IR plán musí obsahovat kroky pro bezpečné izolace OT sítě bez výpadku kritických procesů, kontakty na OT specialisty a postup pro forenzní analýzu průmyslových systémů.

Pro firmy provozující vlastní energetická řešení nebo účastnící se na trhu s elektřinou doporučuji prostudovat nabídku energetického poradenství SmartEnergyShare, kde jsou dostupné konzultace zahrnující i bezpečnostní aspekty provozovaných systémů.

Technologické detaily útoků typu supply chain a jejich obranné strategie pravidelně pokrývá také ShareElectric.cz, zaměřující se na průnik kybernetické bezpečnosti do světa obnovitelné energetiky.

Predikce: kde budeme za 18 měsíců

IronWorm a Miasma nejsou výjimka. Jsou předzvěst. Zásobovací řetězce softwaru pro průmyslové systémy jsou systematicky mapovány a infiltrovány. Útočníci investují čas a zdroje do pochopení specifik OT prostředí — to je kvalitativní posun oproti náhodným ransomware kampaním.

Do konce roku 2027 lze s vysokou pravděpodobností očekávat první rozsáhlý incident v Evropě způsobený právě supply chain kompromitací OT softwaru. Předchůdci jsou jasně viditelní.

Odpovědí není panika — je to systematická práce na bezpečnostní hygieně, separaci sítí a vědomí o tom, co vlastně instalujete. Průmyslová kybernetická bezpečnost přestává být okrajovým tématem a stává se podmínkou provozuschopnosti.

Zdroje

Obchodujete s batteriovými úložišti nebo hledáte partnera pro flexibilitu a day trading elektřiny? SmartEnergyShare nabízí kompletní řešení pro BESS projekty od 50 do 250 kW — obchodování flexibility, SVR služby a IoT monitoring. Zjistěte víc →

Další články na toto téma najdete na: Share-Electric.cz - praktické návody a kalkulace ShareElectric.cz - sdílení FVE a úspory