Zwischen 23:57 Uhr am 22. April und 01:30 Uhr am 23. April deutscher Zeit (17:57 Uhr bis 19:30 Uhr ET) wurde das npm-Paket @bitwarden/cli in der Version 2026.4.0 mit Schadcode ausgeliefert. Diese manipulierte Version stahl Zugangsdaten der Nutzer. Bitwarden betont allerdings, dass im eigentlichen Safe abgelegte Daten von Endnutzern (Vault-Data) nicht betroffen seien.

Wie Bitwarden in seinem Community-Forum mitteilte, habe das Sicherheitsteam das manipulierte Paket identifiziert und eingedämmt. Die Verteilung erfolgte demnach ausschließlich via NPM, wer das Paket in der fraglichen Zeit nicht via NPM bezogen habe, sei nicht betroffen. Die kompromittierte Version sei mittlerweile als deprecated markiert und der missbrauchte Zugang widerrufen worden. Der Vorfall ist Teil eines größeren Angriffs auf die Checkmarx-Lieferkette.

Raffinierter Credential-Stealer mit Fallback-Mechanismen

Sicherheitsforscher von JFrog und Socket.dev haben die Malware im Detail analysiert. Das manipulierte package.json enthielt ein preinstall-Skript, das automatisch beim Installieren eine Loader-Datei namens bw_setup.js ausführte. Diese lud die Bun-Runtime (Version 1.3.13) von GitHub herunter und startete ein obfuskiertes JavaScript-Payload (bw1.js).

Der Schadcode zielte auf ein breites Spektrum sensibler Daten: GitHub- und npm-Tokens, SSH-Schlüssel, Shell-Historien sowie Zugangsdaten für AWS, Google Cloud und Azure. Ferner wurden GitHub-Actions-Secrets, Git-Credentials, .env-Dateien und sogar Konfigurationsdateien von KI-Tools wie Claude und MCP ausgelesen und an die Angreifer geschickt.

Die Exfiltration erfolgte primär verschlüsselt an die Adresse audit.checkmarx.cx (IP: 94.154.172.43). Als Fallback nutzte die Malware einen raffinierten Mechanismus: Gestohlene GitHub-Tokens wurden validiert, um unter dem Konto des Opfers Repositories zur Datenexfiltration anzulegen. Double-Base64-kodierte PATs wurden dabei in Commit-Messages mit dem Marker „LongLiveTheResistanceAgainstMachines“ versteckt.

Sofortige Gegenmaßnahmen erforderlich

Wer die Version 2026.4.0 im genannten Zeitfenster installiert hat, sollte umgehend handeln. Bitwarden empfiehlt die Deinstallation mit npm uninstall -g @bitwarden/cli und das Leeren des npm-Cache. Auf betroffenen Systemen sollten Administratoren nach den Artefakten bw_setup.js, bw1.js sowie einer heruntergeladenen Bun-Runtime suchen.

Besonders wichtig ist die Rotation sämtlicher Zugangsdaten, die auf dem kompromittierten System gespeichert waren: GitHub Personal Access Tokens, npm-Tokens, AWS Access Keys, Azure- und GCP-Secrets sowie SSH-Schlüssel. Auch GitHub-Actions-Workflows sollten auf unautorisierte Ausführungen geprüft werden. Die Domain audit.checkmarx.cx und die IP 94.154.172.43 sollten in Firewalls blockiert werden.

Aktuell liefern alle Repositories wieder die reguläre Version 2026.3.0 aus. Diese und alle anderen Versionen der Bitwarden CLI außer 2026.4.0 sind laut Hersteller nicht betroffen. Produktionssysteme und Vault-Daten seien zu keinem Zeitpunkt kompromittiert worden.

(ju)

„Mit China in Verbindung stehende Akteure“ sollen ihre Taktik massiv verändert haben und zur Verschleierung nun primär auf kompromittierte Endgeräte nichtsahnender kleinerer Unternehmen und Heimanwender zugreifen. Darauf weisen Bundesnachrichtendienst (BND), Bundesamt für Verfassungsschutz (BfV), Bundesamt für Sicherheit in der Informationstechnologie (BSI) und internationale Partnerbehörden wie FBI, NSA und weitere Nachrichtendienste und Cybersicherheitsbehörden in einem koordinierten Warnhinweis hin. Federführend war erneut das National Cyber Security Centre des Vereinigten Königreichs (NCSC), das eine umfangreiche Meldung veröffentlichte.

Neukonfektionierung passend zu Angreifer und Ziel

„Jeder, der Ziel der chinaverbundenen Cyberakteure ist, kann von der Nutzung herkunftsverschleiernder Netzwerke betroffen sein“, heißt es in der NCSC-Mitteilung. Sowohl bei Angriffen der Gruppierung Volt Typhoon als auch von Flax Typhoon seien unterschiedliche derartige Netzwerke aufgefallen. Raptor Train sei 2024 mit einem Netzwerk von mehr als 200.000 kompromittierten Geräten aufgefallen, von Routern über IoT-Geräte wie etwa vernetzten Kameras über Videorecorder und Netzwerkspeicher oder Firewalls.

Neu ist den Empfehlungen nach offenbar, dass die Angreifer sich nicht immer der gleichen Wege zur Mitnutzung fremder Infrastrukturen bedienten, sondern für Kampagnen jeweils neue Verschleierungsnetze individuell für den Bedarf zusammenstellten. Die Sicherheitsbehörden, betont das Bundesamt für Verfassungsschutz, detektierten auch in Deutschland kompromittierte Endgeräte, wenn diese für Angriffe genutzt werden – allerdings eben auch erst dann.

Keine einzelne Möglichkeit zur Abwehr

Besonders unbefriedigend für möglicherweise Betroffene: Es gibt nicht den einen Fix für die Probleme, die sich durch die ungebetenen Mitnutzer im eigenen Netzwerk auftun – das NCSC empfiehlt vor allem Maßnahmen der Cybersicherheitshygiene wie das zügige Updaten von Geräten, das systematische Prüfen der Netzverkehre auf Auffälligkeiten und eine möglichst klare Netzwerksegmentierung.

(mho)

Die Thüringer Regierungskoalition (CDU, SPD, BSW) will im Namen der Modernisierung ein sogenanntes „Entlastungsgesetz“ verabschieden und damit nach eigenen Angaben die Bürokratie abbauen. Die Maßnahmen haben demnach das „Ziel, Abläufe zu vereinfachen und Ressourcen zu schonen“.

Das sieht Arne Semsrott, Transparenz-Experte und Chefredakteur von FragDenStaat, anders. Gegenüber netzpolitik.org äußert dieser: „Die längst überfällige Veröffentlichungspflicht für Kommunen auf den letzten Metern noch zu streichen, passt zur peinlichen Digitalisierungs- und Demokratieverweigerung von CDU und SPD. Dass der BSW daran mitwirkt, ist auch kein Wunder.“

Die Open Knowledge Foundation (OKF), Wikimedia und der Hackspace Jena kritisieren das Gesetzesvorhaben ausführlich in ihren parlamentarischen Stellungnahmen. Der Stellungnahme des Hackspace schließt sich der Chaos Computer Club (CCC) an. Sie alle kommen zu ähnlichen Ergebnissen: Das geplante Entlastungsgesetz baut Transparenz gegenüber den Bürger:innen und Presse ab – und verfehlt sein Modernisierungsziel. Bisherige Fortschritte würden mit dem Gesetz zunichtegemacht. Auch das ausgewiesene Ziel der Landesregierung, die Effizienz zu erhöhen, werde verfehlt. Nicht trotz, sondern aufgrund des Rückbaus.

Transparenzpflicht soll Kann-Bestimmung werden

Die Organisationen sehen im Entlastungsvorhaben vor allem einen Rückbau des Thüringer Transparenzgesetzes (ThürTG) aus dem Jahr 2019. Thüringer Behörden stellen aufgrund des Gesetzes amtliche Informationen unaufgefordert auf dem Thüringer Transparenzportal (TTP) zur öffentlichen Verfügung. Diese Veröffentlichungspflichten sollen nun „zusammengekürzt werden – getarnt als ‚Bürokratieentlastung’“, moniert der CCC.

Die Vorschriften des Transparenzgesetzes sollen in „Kann-Bestimmungen“ umgewandelt werden, die auf Freiwilligkeit setzen und damit zu weniger Transparenz führen, heißt es dazu in der Stellungnahme des Hackspace Jena. „Der geplante § 6 Abs. 3 S. 1 ThürTG schafft die bisherige Transparenzpflicht de facto ab. Die Informationen aus dem gekürzten Katalog können eingestellt werden. Damit ist zu erwarten, dass die ohnehin sehr dürftigen Informationen im TTP noch weniger werden.“

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Timo Melzer kritisiert die Änderungen in der Anhörung zum Gesetzesvorhaben. Sein Amt spreche sich deutlich gegen eine Umwandlung von Soll- in Kann-Bestimmungen aus. Dies diene „nicht dem Zweck des Thüringer Transparenzgesetzes, der die Förderung der demokratischen Meinungs- und Willensbildung sowie die Ermöglichung der Kontrolle staatlichen Handelns verfolgt“. Beides sei in der heutigen Zeit „wichtiger denn je, auch gerade im Hinblick auf Fake News“, so Melzer. Ohne eine verbindliche Veröffentlichungspflicht würde zudem die Qualität und Quantität der Informationen im TTP erheblich reduziert werden.

TTP hinkt bereits hinterher

Melzer sagt, dass durch die Änderung sogar ein höherer Verwaltungsaufwand möglich sei. Er ist davon überzeugt, dass die Attraktivität des TTP durch konsequente Digitalisierung gesteigert werden kann. Die tatsächliche Nutzung der Plattform ließe sich demnach erhöhen, wenn die Nutzbarkeit der Webseite verbessert werde. Beispielsweise durch ein verbessertes IT-Design und KI-Unterstützung auf dem Portal.

Der Hackspace Jena kritisiert in diesem Zusammenhang die ohnehin dürftige Bilanz des staatlichen Portals im Vergleich mit anderen Bundesländern: Seit Inkrafttreten des Transparenzgesetzes Im Jahr 2020 seien insgesamt nur 907 Dokumente eingestellt worden. Gleichzeitig habe Hamburg insgesamt 170.000 Dokumente veröffentlicht. In Rheinland-Pfalz seien es 31.000 Dokumente.

Der Hackspace kritisiert auch die technische Umsetzung des Portals selbst: Aus Sicht der Psychologie und Kognitionsforschung führten lange Ladezeiten bereits ab 5 Sekunden zu einem Gefühl von Verunsicherung und Vertrauensverlust bei den Nutzenden. Ab 15 Sekunden sei es Frustration. Nutzende würden eine Webseite unter solchen Umständen wieder verlassen – und beim TTP läge die vollständige Ladezeit zwischen 20 und 47 Sekunden. Netzpolitik.org hat die langen Ladezeiten in einer Stichprobe ebenso nachvollziehen können.

De facto Rückabwicklung zum Informationsfreiheitsgesetz

„Letztlich entwickelt sich das Transparenzgesetz zurück und ist damit im Kern nur noch ein Informationsfreiheitsgesetz“, so der Hackspace Jena in der Stellungnahme. Berichtspflichten an den Landtag entfielen. Beispielsweise für Gutachten, Stellungnahmen von Verbänden und für Kabinettsvorlagen würden Ausnahmen geschaffen. Es würden damit genau jene Dokumente herausgelöst, die für informierte gesellschaftliche Teilhabe zentral seien.

„Ein Ziel eines Transparenzgesetzes sollte es sein, den Bürgerinnen und Bürgern Informationen auch während des normsetzenden Verfahrens zur Verfügung zu stellen“, so Hackspace Jena. Die Ausnahmen sorgten nun dafür, dass Dokumente „erst nach Abschluss des Verfahrens und auf Antrag zur Verfügung stehen“. Damit werde die Möglichkeit eingeschränkt, das Verfahren überhaupt noch beeinflussen zu können.

Informationsfreiheitsgesetze regeln den voraussetzungslosen Zugang zu amtlichen Informationen. Doch unter dieser Maßgabe bleibt Transparenz auf die Eigeninitiative von Bürger:innen und Journalist:innen angewiesen – die Informationen müssen extra angefragt werden. Transparenzgesetze verfolgen demgegenüber das Ziel, die Behörden zu einer unaufgeforderten Veröffentlichung zu verpflichten.

Laut der Stellungnahme der OKF, Betreiberin der Plattform FragDenStaat, werde nun aus der Pflicht, digitale Dokumente vorzulegen, ein Ermessen, dies zu verweigern. Auch die Rechte des Landesbeauftragten für den Datenschutz und die Informationsfreiheit würden de facto abgeschwächt.

Abbau von Transparenz führt zu Ineffizienz

Die Thüringer Landesregierung begründet das „Entlastungsgesetz“ mit zwei Hauptargumenten: Die Transparenzpflicht würde Personalressourcen binden. Ein prominent genanntes Beispiel ist dabei der Aufwand durch Schwärzungen. Zudem werde das Portal ohnehin kaum genutzt, während kommerzielle Suchmaschinen in der Regel schnellere Ergebnisse lieferten. Beide Argumente seien laut den Stellungnahmen ungültig – und zwar unter Berufung auf den Evaluationsbericht, den die Landesregierung selbst beim Deutschen Forschungsinstitut für öffentliche Verwaltung in Auftrag gegeben hat.

Laut der OKF kam das Institut in dem rund 200 Seiten starken Bericht zu dem Ergebnis, dass es am Vollzug der Regelungen mangele – nicht, dass der Verwaltungsaufwand ein Problem darstelle. Vielmehr gäbe es „‚deutliche Vollzugsdefizite‘ beim Einstellen von Informationen, die auch auf unklare Formulierungen in den §§ 5 und 6 ThürTG zurückzuführen seien“.

„Anstelle einer Abschwächung der Transparenz empfiehlt die Evaluation eine Schärfung der Definitionen sowie die Verfolgung des in anderen Bundesländern gängigen ‚Access for one – Access for all‘-Ansatzes, bei dem individuell beantragte Informationen automatisch auch ins Transparenzportal überführt werden“, so die OKF. Es könne zudem keine Lösung sein, die Bereitstellung staatlicher Informationen an Privatkonzerne zu übertragen – zumal bei Suchmaschinen ohnehin nur gelistet werden könne, was vorher auch veröffentlicht wurde.

Regierungskoalition ignoriert Evaluationsbericht

Auch der Hackspace Jena quittiert der Landesregierung insgesamt: „Bei dem vorliegenden Entwurf ist nicht zu erkennen, dass diese Vorschläge umgesetzt worden oder dass diese Erkenntnisse irgendwie in den Entwurf eingeflossen sind.“

Dem Aufwand von Schwärzungen ließe sich durch eine konsequente Digitalisierung der Verwaltung ebenfalls begegnen, so die Stellungnahme von Wikimedia, und zwar automatisiert, „technisch wirksam und ohne weiteres Zutun“ indem personenbezogene Sachverhalte in Dokumenten maschinenlesbar codiert werden. Es sei demnach die IT-Infrastruktur zu modernisieren, die gleichsam die Voraussetzung für weitere Modernisierungsvorhaben sei.

„Die geplanten Änderungen des Thüringer Transparenzgesetzes gehen an der ausweislichen Zielstellung des Thüringer Entlastungsgesetzes vorbei“, kritisiert Wikimedia ferner. Wenn die Handlungsfähigkeit und Effizienz der Verwaltung durch das ThürTG beeinträchtigt werde, sei dies lediglich ein Indikator für mangelnde Verwaltungsdigitalisierung. Die automatisierte Veröffentlichung von Dokumenten schaffe nicht nur Transparenz, sondern auch eine Grundlage für viele weitere alltägliche Behördenabläufe – intern oder im Austausch mit den Bürger:innen.

Probleme bei personellen Ressourcen ausgerechnet durch den Abbau von Transparenzvorschriften lösen zu wollen, sei deshalb kontraproduktiv, so Wikimedia. Grundlegende Ursachen würden dadurch nicht angegangen, sondern lediglich die „sichtbaren Konsequenzen abgeschafft“. Dies mache es in der Zukunft umso schwerer, Effizienzprobleme zu erkennen.

Gemeinde- und Städtebund begründet mit Personalmangel

Dr. Carsten Rieder, geschäftsführendes Vorstandsmitglied des Gemeinde- und Städtebundes Thüringen, argumentiert in der Anhörung zum Gesetzesvorhaben dennoch mit einer Mehrbelastung für die Kommunen. Transparenz werde prinzipiell unterstützt, aber durch die Pflichten entstünden personelle Mehrbelastungen im Verwaltungsalltag. Zudem gäbe es Berichte von Einzelfällen, in denen Verwaltungseinheiten mit Anfragen überhäuft würden. Die Transparenzgesetze könnten demnach „ansatzweise missbräuchlich“ genutzt werden, um „Verwaltungen lahmzulegen“.

Melzer sieht auch in dieser Hinsicht das Potenzial bei technischen Lösungen, die Missbrauch verhindern können. Nach seinem Kenntnisstand würden Mitarbeitende der Kommunen das TTP zudem selbst nutzen, um sich einen schnellen Informationsüberblick zu verschaffen.