Threat Advisories

Ein neuer und aktiver Angriff auf die npm-Versorgungskette wurde beobachtet, der kompromittierte Betreuer-Anmeldeinformationen missbraucht, um bösartigen Code über Pakete im Node.js-Ökosystem selbst zu verbreiten. Die Malware stiehlt Authentifizierungsmaterial (npm-Tokens, Cloud-Zugangsdaten, CI/CD-Geheimnisse, SSH-Schlüssel und Wallet-Daten) und nutzt alle entdeckten Publishing-Tokens, um sich in weitere Pakete desselben Maintainers einzuschleusen und so eine wurmartige seitliche Verbreitung zu erzeugen.

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat die aktive Ausnutzung einer hochgradig gefährlichen Schwachstelle für Remotecodeausführung (RCE) in Apache ActiveMQ Classic bestätigt, die als CVE-2026-34197 erfasst ist. Die Schwachstelle wurde in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, was verifizierte böswillige Aktivitäten in freier Wildbahn signalisiert und die Priorität für Abhilfemaßnahmen für alle Organisationen erhöht, die betroffene Versionen von ActiveMQ verwenden.

Microsoft Exchange Server ist nach wie vor einwertvollesZiel für Bedrohungsakteure, da es eng mit den Identitätssystemen des Unternehmens, der E-Mail-Infrastruktur und privilegierten Dienstkonten verbunden ist. Schwachstellen bei der Remote-Code-Ausführung (RCE) in Exchange wurden in der Vergangenheit fürgroßangelegteSpionagekampagnen, die Bereitstellung von Ransomware und dauerhafte Zugriffsoperationengenutzt.

Ein kritischer Angriff auf die Lieferkette hat die weit verbreitete JavaScript-Bibliothek Axios betroffen, nachdem das npm-Konto des Hauptverantwortlichen kompromittiert wurde. Die Angreifer nutzten das gekaperte Konto, um zwei bösartige Versionen zu veröffentlichen, axios@1.14.1 und axios@0.30.4, die eine bösartige Abhängigkeit einführten (plain-crypto-js@4.2.1). Diese Abhängigkeit war nicht Teil der legitimen Axios-Codebasis und diente nur dazu, ein Nachinstallationsskript auszuführen, das einen plattformübergreifenden Remote Access Trojaner (RAT) installierte.

LiteLLM ist eine beliebte Open-Source-Python-Bibliothek und ein Proxy-Server, der eine einheitliche Schnittstelle für den Aufruf von mehr als 100 Large Language Model (LLM)-APIs wie OpenAI, Anthropic, Bedrock und VertexAI bietet, wobei das standardmäßige OpenAI-Eingabe-/Ausgabeformat verwendet wird. Es vereinfacht die Integration mehrerer LLMs und bietet Funktionen wie automatische Fallbacks, Wiederholungsversuche und Kostenverfolgung. Da es als API-Gateway fungiert, fungiert es von vornherein als Credential Aggregator, der API-Schlüssel für verschiedene LLM-Anbieter sicher verwahrt.

CVE202620963 wurde ursprünglich im Januar 2026 veröffentlicht, hat aber in letzter Zeit aufgrund der bestätigten aktiven Ausnutzung erneut an Aufmerksamkeit gewonnen.

Anfang dieser Woche haben wir einen Blogbeitrag über die Cyber-Affären inmitten des amerikanisch-israelischen Krieges gegen den Iran mit dem Titel Operation Epic Fury geschrieben. Darin stellten wir fest, dass es als Vergeltung für diese Angriffe eine verstärkte Reaktion von staatlich geförderten Bedrohungsakteuren gegen westliche Organisationen mit einer Präsenz im Nahen Osten geben würde.

Cisco hat Notfall-Patches für zweiSicherheitslückenhöchstenSchweregrades(CVSS 10.0)veröffentlicht, die das Cisco Secure Firewall Management Center (FMC) betreffen. Diese Schwachstellen, die unter den BezeichnungenCVE-2026-20079undCVE-2026-20131geführt werden, ermöglichen es nicht authentifizierten Angreifern, dieKontrolle über FMC-AppliancesaufRoot-Ebenezu erlangen, was ein ernstes Risiko für die Firewall-Infrastruktur von Unternehmen darstellt. Bisher wurde noch keine Ausnutzung in freier Wildbahn beobachtet, aber die kritische Natur und die einfache Ausnutzung machen diese Schwachstellen zu einer sofortigen Priorität für die Behebung.

Cybersecurity-Forscher haben eine neue Welle von Supply-Chain-Angriffen aufgedeckt, die nordkoreanischen, staatlich orientierten Bedrohungsakteuren zugeschrieben werden. Dabei wurden 26 bösartige npm-Pakete veröffentlicht, die sich als legitime Entwickler-Tools ausgeben. Die als "StegaBin" bezeichnete Kampagne nutzt Pastebin-basierte Steganografie, um Command-and-Control (C2)-Endpunkte zu verbergen und schließlich Credential Stealer und einen plattformübergreifenden Remote Access Trojan (RAT) einzusetzen. Die Infrastruktur, die diese Operationen unterstützt, erstreckt sich über 31 Vercel-Installationen, was eine ausgeklügelte und sich weiterentwickelnde Bedrohung für die globale Software-Lieferkette aufzeigt.

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine neu entdeckte Sicherheitslücke in VMware Aria Operations (CVE-2026-22719) in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen, nachdem eine aktive Ausnutzung in freier Wildbahn bestätigt wurde. Bei der Schwachstelle handelt es sich um eine Befehlsinjektionsschwachstelle, die unter bestimmten Bedingungen eine unautorisierte Remotecodeausführung (RCE) ermöglicht. VMware (Broadcom) hat am 24. Februar 2026 Patches veröffentlicht, doch Berichten zufolge nutzen Angreifer die Schwachstelle nun gegen ungepatchte Systeme aus. Zivile Bundesbehörden wurden angewiesen, die Sicherheitslücke bis zum 24. März 2026 zu beheben.