Consecur Weekly Update zu Bedrohungsinfos in KW 05/2026

Consecur Weekly Update zu Bedrohungsinfos in KW 05/2026.

In der vergangenen Woche wurden auf Microsoft’s Visual Studio Code Marketplace bösartige KI-Extensions entdeckt, fanden Experten heraus, dass die Abwehrmechanismen gegen Shai-Hulud teils umgehbar sind und ein veröffentlichtes Notfall-Update für Microsoft 365 und Office schließt eine Lücke, die bereits aktiv ausgenutzt wird.

Zusammenfassung (TL; DR):

• KI-Extensions stehlen Entwicklerdaten
• PackageGate: Abwehrmechanismen gegen Shai-Hulud teils umgehbar
• Zeroday in Microsoft Office aktiv ausgenutzt
• Knapp 150 Millionen Passwörter in ungeschützter Datenbank gefunden

KI-Extensions stehlen Entwicklerdaten: Auf Microsoft’s Visual Studio Code Marketplace wurden erneut zwei bösartige, als KI-basierte Programmierassistenten getarnte, Erweiterungen entdeckt. Zusammen kommen sie auf rund 1,5 Mio. Installationen.

Die Add-ons sind Teil einer Kampagne namens „MaliciousCorgi“ und liefern, nach Informationen von Koi Security, zwar die versprochenen Funktionen, exfiltrieren aber parallel Entwicklerdaten. Dazu werden drei verschiedene Mechanismen verwendet: Der erste liest Dateien nach dem Öffnen vollständig aus und sendet deren Inhalt Base64-kodiert an eine externe Webview, die einen versteckten Tracking-iframe enthält. Der zweite Mechanismus zieht, mithilfe eines servergesteuerten Befehls, zusätzlich bis zu 50 Dateien aus dem Workspace. Darüber hinaus werden Nutzerprofile mithilfe von vier kommerziellen Analyse-SDKs erstellt, die über ein Zero-Pixel-iFrame geladen werden.

Nutzer sollten die Erweiterungen umgehend deinstallieren und gegebenenfalls Secrets ändern.

Was jetzt zu tun ist:

• Erweiterungen umgehend deinstallieren
• ggf. Secrets betroffener Workspaces aktualisieren

PackageGate: Abwehrmechanismen gegen Shai-Hulud teils umgehbar: Die nach den Shai-Hulud-Angriffen implementierten Abwehrmechanismen sind offenbar unzureichend. In verschiedenen JavaScript-Utilities wurden mehrere, kollektiv als „PackageGate“ bezeichnete Schwachstellen entdeckt.

GitHub als Betreiber von npm empfahl unter anderem, lifecycle-Skripte während der Installation zu deaktivieren sowie die Integrität von Lockfiles und das Pinning von Abhängigkeiten zu aktivieren. Sicherheitsforscher von Koi Security fanden nun heraus, dass sich diese Schutzmaßnahmen in bestimmten Fällen trotzdem umgehen lassen. Wird eine Dependency direkt aus einem Git-Repository installiert, kann eine bösartige Konfiguration, wie .npmrc den Git-Binary-Pfad überschreiben. Dadurch ist Codeausführung möglich, obwohl –ignore-scripts=true gesetzt ist. Ein bereits veröffentlichter Proof-of-Concept missbrauche diese Technik laut Koi bereits, um eine Reverse-Shell zu erzeugen.

Was jetzt zu tun ist:

• Package-Manager aktualisieren
• Git-Dependencies prüfen

Zeroday in Microsoft Office aktiv ausgenutzt: Ein vergangenen Montag veröffentlichtes Notfall-Update für Microsoft 365 und Office schließt eine Lücke, die bereits aktiv ausgenutzt wird.

CVE-2026-21509 mit einem CVSS-Score von 7.8 erlaubt die Umgehung von Sicherheitsmaßnahmen, die die Ausführung schädlicher OLE/COM-Komponenten verhindern sollen. Dazu genügt es, dass ein Opfer eine präparierte Office-Datei öffnet. Nähere Details zur Schwachstelle sind derzeit nicht bekannt.

Nutzern wird empfohlen, ihre Installationen schnellstmöglich zu patchen. Um das Update zu installieren, genügt es, Office-Anwendungen einmal neu zu starten. Da der Support für Office 2016 C2R und Office 2019 im Oktober 2025 endete, gibt es für diese Versionen kein Update.

Was jetzt zu tun ist: Umgehend patchen

Knapp 150 Millionen Passwörter in ungeschützter Datenbank gefunden: Auf einem frei zugänglichen Server wurden 149.404.754 Passwörter für Dienste wie Gmail, Facebook, Instagram und Netflix gefunden. Auch Zugangsdaten für Regierungskonten befanden sich in der Datenbank.

Nach Informationen des Sicherheitsforschers Jeremiah Fowler umfasste die unverschlüsselte Datenbank 96 GB an Informationen, darunter E-Mails, Benutzernamen, Passwörtern und Links zu den betroffenen Webseiten. Vermutlich stammen die Daten aus Infostealer-/Keylogger-Angriffen und unterscheiden sich durch zusätzliche Informationen von früheren Datensätzen.

Wer die Datenbank verwaltet und ob die Informationen zu kriminellen- oder Forschungszwecken gesammelt wurden, ist derzeit unklar.

Was jetzt zu tun ist:

• kompromittierte Passwörter ändern
• 2FA aktivieren
• Konten auf verdächtige Logins prüfen