Consecur Weekly Update zu Bedrohungsinfos in KW 09/2026

ConSecur GmbH ConSecur GmbH   |
  • IT-Sicherheit
  • Experte
Consecur Weekly Update

Consecur Weekly Update zu Bedrohungsinfos in KW 09/2026.

In der vergangenen Woche wurde entdeckt, dass ein Supply-Chain-Wurm Secrets aus Entwicklungsumgebungen über vergiftete npm-Pakete exfiltriert, die CISA hat zwei RoundCube-Schwachstellen als aktiv ausgenutzt eingestuft und  Adidas prüft mutmaßliches Datenleck bei externem Dienstleister.

Zusammenfassung (TL; DR):

  • Supply-Chain-Wurm exfiltriert Secrets aus Entwicklungsumgebungen über vergiftete npm-Pakete
  • CISA stuft zwei RoundCube-Schwachstellen als aktiv ausgenutzt ein
  • Adidas prüft mutmaßliches Datenleck bei externem Dienstleister
  • Vier kritische SolarWinds-Serv-U-Schwachstellen erlauben Remote Code Execution

Supply-Chain-Wurm exfiltriert Secrets aus Entwicklungsumgebungen über vergiftete npm-Pakete: ne unter dem Codenamen „SANDWORM_MODE” geführte Supply-Chain-Kampagne nutzt bösartigen Code in npm-Paketen, um Systeminformationen, Zugriffstoken, Secrets und API-Schlüssel aus Entwicklungsumgebungen zu stehlen.

Die Malware basiert auf denselben Funktionen wie der Wurm Shai-Hulud, ergänzt diese jedoch um die Exfiltration von CI/CD-Secrets über HTTPS mit DNS-Fallback. Eine derzeit standardmäßig deaktivierte Funktion kann das Home-Verzeichnis löschen, sobald der Zugriff auf GitHub und npm entzogen wird.

Besonders brisant: Das Modul „McpInject” injiziert einen bösartigen MCP-Server in die Konfiguration von KI-basierten Coding-Assistenten wie Claude Code und Cursor. Dieser Server stellt drei Tools bereit, die per Prompt-Injection RSA-Keys sowie Token und Secrets für AWS und npm aus lokalen Dateien kopieren und zur späteren Exfiltration bereitstellen.

Um Sicherheitslösungen zu umgehen, setzt die Payload eine Polymorphie-Engine ein, die über eine lokale Ollama-Instanz DeepSeek Coder aufruft. So lassen sich unter anderem Kontrollflüsse umschreiben und Variablen umbenennen.

Was jetzt zu tun ist:

  • Betroffene npm-Pakete umgehend deinstallieren
  • Sämtliche Token und Secrets für npm, GitHub, AWS und CI/CD-Pipelines rotieren
  • package.json-, Lockfiles- und .github/workflows/-Dateien auf unerwartete
  • Änderungen überprüfen

CISA stuft zwei RoundCube-Schwachstellen als aktiv ausgenutzt ein: Die US-Behörde CISA hat zwei RoundCube-Schwachstellen in den Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Für beide stehen Patches bereit.

Bei CVE-2025-49113 handelt es sich um eine kritische Remote-Code-Execution-Lücke (RCE), die bereits im Juni 2025 gepatcht wurde – wenige Tage bevor die CISA sie als aktiv ausgenutzt markierte.

Die zweite Schwachstelle, CVE-2025-68461, erlaubt unauthentifizierten Angreifern Cross-Site-Scripting (XSS) über das Animate-Tag in SVG-Dokumenten. Ein Patch steht seit Dezember 2025 zur Verfügung.

Betroffene Stellen haben nach der CISA-Einstufung drei Wochen Zeit, die Updates einzuspielen. Konkrete technische Details zu den aktuellen Angriffen veröffentlichte die CISA nicht. In der Vergangenheit wurden bereits Angriffe auf verschiedene RoundCube-Schwachstellen beobachtet, unter anderem durch die russische Hacker-Gruppe Winter Vivern.

Was jetzt zu tun ist: RoundCube-Instanzen umgehend auf die aktuelle Version patchen

Adidas prüft mutmaßliches Datenleck bei externem Dienstleister: Die Erpresser-Gruppe Lapsus$ behauptet in einem Darknet-Forum, über vertrauliche Daten von Adidas zu verfügen, die über den Extranet-Zugang eines externen Dienstleisters entwendet worden seien. Unabhängig verifizieren lassen sich diese Angaben derzeit nicht.

Dem Eintrag vom 16. Februar zufolge enthalte die Datenbank unter anderem vollständige Namen, E-Mail-Adressen, Passwörter, Geburtstage und technische Daten – insgesamt rund 815.000 Datensätze. Die Gruppe kündigte zudem weitere Aktionen an: „Something bigger is coming, just wait. You will like it.” Seit ihrer Vereinigung mit den „ShinyHunters” sowie „Scattered Spider” im August 2025 agiert die Allianz als „Scattered LAPSUS$ Hunters”.

In einer Stellungnahme gegenüber heise online erklärte Adidas, man sei auf einen möglichen Datenschutzvorfall bei einem unabhängigen Lizenznehmer und Vertriebspartner aufmerksam geworden. Es gebe keine Hinweise darauf, dass die eigene IT-Infrastruktur, E-Commerce-Plattformen oder Kundendaten von Adidas selbst betroffen seien. Es handle sich „um ein unabhängiges Unternehmen mit eigenen IT-Systemen.”

Sollten sich die Informationen als zutreffend erweisen, könnten die Daten für gezielte Phishing-Kampagnen genutzt werden.

Vier kritische SolarWinds-Serv-U-Schwachstellen erlauben Remote Code Execution: SolarWinds hat Sicherheitsupdates für vier kritische Schwachstellen in der FTP-Lösung Serv-U veröffentlicht, so das Consecur Weekly Update. Die Remote-Code-Execution-Lücken erlauben Angreifern teils die Erlangung von Root-Zugriff auf verwundbaren FTP-Servern.

Die Software dient der sicheren Datenübertragung über Managed File Transfer (MFT) und bietet zusätzlich FTP-Serverfunktionen.

CVE-2025-40538 stellt mit einem CVSS-Score von 9.1 die kritischste Lücke dar. SolarWinds beschreibt sie als Broken-Access-Control-Fehler, über den ein Angreifer einen Nutzer mit Systemadministrator-Rechten anlegen und Code mit privilegierten Rechten ausführen kann.

Darüber hinaus wurden zwei Type-Confusion-Lücken und eine IDOR-Schwachstelle (Insecure Direct Object Reference) behoben. Voraussetzung für die Ausnutzung aller vier Schwachstellen: Ein Angreifer muss bereits über hohe Berechtigungen auf dem Zielsystem verfügen.

Was jetzt zu tun ist:

  • SolarWinds Serv-U umgehend auf die aktuelle Version patchen
  • Bestehende Zugriffsrechte auf Serv-U-Instanzen überprüfen und restriktiv konfigurieren

ShinyHunters reklamieren Datenleck bei niederländischem Telekommunikationsanbieter Odido: Nachdem der niederländische Telekommunikationsanbieter Odido am 12. Februar ein Datenleck öffentlich machte, reklamierte die Erpressergruppe ShinyHunters den Angriff für sich und veröffentlichte das Unternehmen auf ihrer Leak-Seite.

Nach Unternehmensangaben umfasst der geleakte Datensatz unter anderem vollständige Namen, Adressen, Handynummern, Kundennummern, E-Mail-Adressen, IBAN-Daten sowie Geburtsdaten. Die betroffenen Informationen variieren je nach Kunde. Passwörter für „Mijn Odido”, Rechnungsdaten oder Scans von Ausweisdokumenten seien laut Odido nicht betroffen.

Gegenüber lokalen Medien sprach Odido von rund 6,2 Millionen betroffenen Kunden. ShinyHunters behaupteten gegenüber BleepingComputer, die gestohlenen Daten enthielten auch interne Unternehmensdaten und Klartext-Passwörter – rund 21 Millionen Datensätze insgesamt. Odido wies dies zurück.

Der Anbieter meldete den Vorfall der niederländischen Datenschutzbehörde, sperrte den Zugriff der Angreifer und zog externe Unterstützung hinzu. Die ShinyHunters beanspruchten zuletzt auch Datenlecks bei SoundCloud, Canada Goose und PornHub für sich.

RLSB Osnabrück warnt vor CEO-Fraud-Welle gegen Schulen und Behörden: Das Regionale Landesamt für Schule und Bildung (RLSB) Osnabrück warnt laut Consecur Weekly Update vor einer aktuellen Welle von CEO-Fraud-Angriffen. Betroffen sind Verwaltungskräfte, Lehrkräfte, Elternratsvorsitzende sowie Unternehmen, Schulen und Behörden.

Die Angreifer versenden zunächst eine E-Mail von einem Mailaccount, der den Namen der Schulleitung enthält, und bitten um Rückmeldung. Erfolgt eine Antwort, folgt eine zweite Mail mit der Aufforderung, Geschenkgutscheine zu erwerben. Die Mails wirken durch korrekte Daten wie Telefonnummern oder Amtsbezeichnungen legitim.

Was jetzt zu tun ist:

  • Mitarbeiter über die aktuelle CEO-Fraud-Masche informieren und sensibilisieren
  • Betrugsversuche bei der Polizei anzeigen
Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung