Die vergangene Woche war ein klassischer Wochenabschluss in der Infosec: Dasselbe Chaos, nur mit neuen Vorzeichen. Ein kompromittiertes Dev-Tool führte zu massiven Datenabflüssen, ein fast zehn Jahre alter Linux-Bug tauchte aus dem Nichts auf, und ausgerechnet Sicherheitsprodukte mussten selbst vor Angriffen geschützt werden. Phishing-Kampagnen werden immer raffinierter, Botnets greifen alles an, was im Netz exponiert ist, und die Supply Chain entpuppt sich einmal mehr als Single Point of Failure.
Das Supply-Chain-Debakel: Wenn Dev-Tools zur Waffe werden
Der Vorfall der Woche lieferte gleich eine ganze Kette von Abhängigkeiten: GitHub bestätigte einen massiven Breach interner Repositories. Die Einfallstür? Ein vergiftetes VS Code Extension namens „Nx Console". Die Kriminellengruppe TeamPCP nutzte diesen Zugang, um rund 3.800 Repositories zu exfiltrieren. Der Ursprung der Vergiftung lag wiederum im Nachgang des TanStack-Hacks, von dem auch Firmen wie OpenAI und Grafana Labs betroffen waren.
Die journalistische Einordnung: Dieser Vorfall ist ein Paradebeispiel für die toxische Natur moderner Softwareentwicklung. Wir bauen auf Modulen und Erweiterungen Dritter auf, vertrauen ihnen blind und haben oft keine Mechanismen, um kompromittierte Dependencies oder Extensions schnell zu isolieren. Die Veröffentlichung des Shai-Hulud-Codes durch TeamPCP bedeutet nichts Gutes: Supply-Chain-Angriffe werden industrialisiert. Wer heute nicht seine Dependencies und Dev-Umgebungen hart überwacht, spielt mit dem Feuer.
Die Geister der Vergangenheit: 9 Jahre alter Linux-Kernel-Bug
Manchmal sind es nicht die neuen, ausgefeilten Angriffe, die am meisten schaden, sondern der alte Code, der einfach vergessen wurde. CVE-2026-46333 ist ein Fehler im Linux-Kernel, der seit November 2016 unentdeckt blieb. Die fehlerhafte Privilegienverwaltung ermöglicht es unprivilegierten lokalen Nutzern, sensible Dateien offenzulegen und beliebige Befehle als Root auszuführen – auf Standard-Installationen von Debian, Fedora und Ubuntu.
Die journalistische Einordnung: Das unterstreicht eine unangenehme Wahrheit: Alter Code rostet nicht, er gammelt vor sich hin. In riesigen Codebasen wie dem Linux-Kernel schlummern oft jahrelang kritische Fehler, die erst durch Zufall oder gezieltes Auditing ans Licht kommen. Es ist ein Weckruf, dass Legacy-Code in Standard-Komponenten dringend systematischer geprüft werden muss.
Die bittere Ironie: Wenn Sicherheitssoftware zur Achillesferse wird
Besonders pikant: Ausgerechnet Microsoft Defender wies zwei aktiv ausgenutzte Schwachstellen auf (CVE-2026-41091 und CVE-2026-45498). Während die eine lokale Privilegieneskalation bis SYSTEM ermöglicht, sorgt die andere für Denial-of-Service. Hinzu kam der YellowKey-Bypass für BitLocker (CVE-2026-45585), der Angreifern mit physischem Zugriff die Entschlüsselung der Laufwerke erlaubt.
Die journalistische Einordnung: Wenn die Wächter selbst Türen offen stehen lassen, wird Defense-in-Depth zur Farce. Sicherheitssoftware operiert auf der höchsten Ebene des Systems. Ein kompromittierter Defender ist nicht einfach nur ein Bug – er ist ein Einfallstor für Angreifer, das explizit vertraut wird. Das Fixieren solcher Lücken in Sicherheitsprodukten muss höchste Priorität haben, denn hier greifen Unternehmen oft auf Blindflug vertrauen.
KI als Retterin?
Ein Hoffnungsschimmer kam von Anthropic: Das Projekt Glasswing (Claude Mythos AI) fand über 10.000 Schwachstellen in systemrelevanten Open-Source-Projekten, davon über 1.000 im High- oder Critical-Bereich validiert. Das ist ein Beweis dafür, dass KI im Vulnerability-Management nicht nur Hype ist, sondern Notwendigkeit. Angesichts der schieren Masse an Code wird menschliches Auditing allein nicht ausreichen, um das Fenster zwischen Disclosure und Exploitation zu schließen.
Der Makro-Trend: Lücken schlagen Credentials
Der Verizon-Report brachte eine statistische Zäsur: Das Ausnutzen von Schwachstellen hat kompromittierte Credentials als häufigste Initial Access-Methode abgelöst. 31% der Datendiebstähle starteten mit einer Lücke. Gleichzeitig sank die Patch-Geschwindigkeit: Im Median dauert es nun 43 Tage, kritische Lücken zu schließen – zwei Wochen mehr als im Vorjahr.
Fazit: Die Angreifer automatisieren schneller, als die Verteidiger patchen. Ob RondoDox-Botnet, das eine 8 Jahre alte ASUS-Router-Lücke ausnutzt, oder tausende Angriffe auf eine neue Drupal-Core-SQL-Injection – die Botschaft der Woche ist klar. Wer seine alten Server, vergessenen Code und Patch-Management-Prozesse nicht im Griff hat, ist bereits verloren. Das Internet bleibt ein Dauerbrand, und Feuerwehr spielen reicht längst nicht mehr.
Quelle: The Hacker News
