Consecur Weekly Update zu Bedrohungsinfos in KW 0/2026

Consecur Weekly Update zu Bedrohungsinfos in KW 0/2026.

In der vergangenen Woche wurden 1400 öffentlich zugängliche MongoDB-Server von einem unbekannten Angreifer kompromittiert, ein kompromittierter Entwickler-Account verbreitete GlassWorm-Extensions und eine kritische SolarWinds Schwachstelle wurde in den KEV-Katalog aufgenommen.

Zusammenfassung (TL; DR):

• Ransomware-Angriff auf exponierte MongoDB-Instanzen
• Kompromittierter Entwickler-Account verbreitet GlassWorm-Extensions
• Kritische SolarWinds Schwachstelle in KEV-Katalog aufgenommen

Ransomware-Angriff auf exponierte MongoDB-Instanzen: 1400 öffentlich zugängliche MongoDB-Server wurden von einem unbekannten Angreifer kompromittiert, Daten sollen gegen ein Lösegeld wieder freigegeben werden.

Pentester des Cyber-Security-Unternehmens Flare entdeckten mehr als 208.500 öffentlich erreichbare MongoDB-Server. Rund 3.100 Systeme waren demnach ohne Authentifizierung zugänglich, bei etwa 1.400 wurden bereits Datenbanken gelöscht und ein Erpresserschreiben hinterlassen.

Die Angriffe laufen offenbar weitgehend automatisiert. Typischerweise wird eine Zahlung von 0,005 BTC binnen 48 Stunden gefordert. Das entspricht derzeit etwa 350€.

Auffällig ist, dass in den Ransom Notes nur fünf Wallet-Adressen auftauchten, wobei eine Adresse klar dominiert, was auf einen einzelnen Angreifer hindeutet. Neben unzureichenden Authentifizierungsmaßnahmen verwenden laut Flare etwa die Hälfte der betroffenen Instanzen veraltete Versionen der Software.

Administratoren wird empfohlen, Server nur öffentlich zugänglich zu machen, wenn nicht anders möglich und dann auch nur mit starkem Authentifizierungsmechanismus. Darüber hinaus sollten nur vertrauenswürdige Verbindungen zugelassen, MongoDB auf die neueste Version aktualisiert und Zugangsdaten rotiert werden.

Was jetzt zu tun ist:

• Zugriffsmöglichkeiten einschränken
• Veraltete Versionen umgehend patchen
• Passwörter/Secrets rotieren

Kompromittierter Entwickler-Account verbreitet GlassWorm-Extensions: Ein legitimer Entwickler-Account namens „oorzc“ wurde vermutlich kompromittiert und genutzt, um vier OpenVSX-Erweiterungen mit insgesamt über 22.000 Downloads mit der GlassWorm-Payload zu versehen.

Nach Informationen von Socket Security wurden die bösartigen Updates am 30. Januar hochgeladen, nachdem die Erweiterungen zwei Jahre lang keinerlei bösartigen Code enthielten, was auf eine Kompromittierung des Entwicklerkontos durch die GlassWorm-Betreiber hindeutet.

Ziele seien demnach vor allem macOS-Systeme, wobei Anweisungen aus Solana-Transaktionsmemos gezogen werden. Einen Hinweis auf die Herkunft des Angreifers liefert die explizite Verschonung russischer Systeme.

Socket informierte die Eclipse Foundation über die infizierten Pakete, woraufhin Tokens widerrufen und entsprechende Releases entfernt wurden. Die Erweiterung „oorzc.ssh-tools“ wurde sogar vollständig gelöscht, da sie mehrere bösartige Releases enthielt.

Nutzern der entsprechenden Versionen wird empfohlen, eine Systemreinigung durchzuführen und sämtliche Secrets und Passwörter zu ändern.

Was jetzt zu tun ist:

• Erweiterungen entfernen
• Umgehend Systemreinigung durchführen
• Secrets und Passwörter ändern

Kritische SolarWinds Schwachstelle in KEV-Katalog aufgenommen: Die US-Behörde CISA hat eine kritische Schwachstelle in der SolarWinds Management Software Web Help Desk in ihren „Known Exploited Vulnerabilities“-Katalog (KEV) aufgenommen und damit als aktiv ausgenutzt markiert.

CVE-2025-40551 mit einem CVSS-Sscore von 9.8 erlaubt unauthentifizierten Angreifern die Ausführung von Schadcode aufgrund einer Deserialisierung nicht vertrauenswürdiger Daten. Wie üblich wurden keine Informationen darüber veröffentlicht, wie die Schwachstelle bei Angriffen ausgenutzt wird, durch wen oder wer die Ziele sein könnten. SolarWinds behob die Schwachstelle am 28. Januar mit einem Update auf Version 2026.1.

Administratoren wird empfohlen, umgehend zu patchen. US-Behörden müssen das Update laut KEV-Frist bis 06. Februar umsetzen.

Was jetzt zu tun ist: Umgehend patchen

Datenleck bei Coinbase: Nachdem auf Telegram kurzzeitig Screenshots eines internen Support-Interfaces durch die „Scattered Lapsus Hunters“ geteilt wurden, bestätigte Coinbase, dass ein externer Auftragnehmer im Dezember unberechtigt auf Kundendaten zugegriffen hatte.

Betroffen waren laut Unternehmen rund 30 Nutzer, wobei diese bereits informiert worden seien und Hinweise sowie Identitätsschutz erhielten. Coinbase betont, dass der betreffende Auftragnehmer nicht mehr für das Unternehmen tätig ist.

Die Screenshots sollen u. A. Zugriff auf Namen, E-Mail-Adressen, Geburtsdaten, Telefonnummern, sowie Wallet-Transaktionen gezeigt haben. Ob die Gruppe selbst hinter dem Zugriff stand oder nur Material weiterverbreitete, ist derzeit unklar.

Update-Dienst von Notepad++ kompromittiert: Eine mutmaßlich chinesische staatlich unterstützte Hackergruppe („Lotus Blossom“) kompromittierte 2025 den Update-Dienst von Notepad++. Angreifer nutzten eine gehackte Hosting-Infrastruktur und Schwächen bei der Update-Verifikation älterer Versionen, um gezielt bestimmte Nutzer auf manipulierte Update-Server umzuleiten. Dadurch konnten bösartige Update-Dateien verteilt und eine Backdoor („Chrysalis“) in betroffene Systeme integriert werden.

Die Kampagne lief laut Entwickler von Juni bis Dezember 2025 und war stark selektiv, mit überwiegendem Bezug zu Opfern in Südost-Asien.

Sicherheitsforscher berichteten von kompromittierten Systemen, bei denen Notepad++-Prozesse als Einstiegspunkt dienten. Als Reaktion wurden Update-Mechanismen gehärtet, Zertifikatsprüfungen verbessert und die Hosting-Umgebung gewechselt. Nutzer sollen alte selbstsignierte Zertifikate entfernen und die aktuelle Version manuell installieren.

Was jetzt zu tun ist: Systeme auf Kompromittierung durch die Backdoor „Chrysalis“ prüfen