Die Eclipse Foundation hat eine neue Initiative gestartet, um Entwicklerinnen und Entwickler zu motivieren, Schwachstellen in der Open VSX Registry zu melden. Diese herstellerunabhängige Plattform für VS-Code-Erweiterungen steht mit ihren über 300 Millionen monatlichen Downloads oft im Fokus von Lieferkettenangriffen, die versuchen, Malware über solche Extensions zu verbreiten.

Das Open VSX Security Researcher Recognition Program richtet sich an Sicherheitsforscher, Security-Teams oder Open-Source-Entwickler. Finanzielle Prämien gibt es allerdings nicht: Stattdessen belohnt Eclipse die Finder mit Einträgen in einer öffentlichen Hall of Fame, digitalen Badges und Gutscheinen – abhängig von der Relevanz der gemeldeten Lücke und der Qualität der Einreichung. Klassische Bug-Bounty-Programme bezahlen die Teilnehmenden hingegen, wie zuletzt OpenAI: Die Firma hat ihr Bug-Bounty-Programm im März gestartet und belohnt mit 250 bis 5500 US-Dollar.

Andere Projekte wie Curl verzichten inzwischen auf Bounties, weil wertlose KI-Bug-Meldungen so stark zugenommen haben, dass die Maintainer mit dem Sichten nicht mehr hinterherkommen. Curl nutzt HackerOne jetzt lediglich noch zur Verwaltung.

Angriffswelle auf Extension Registries

Lieferkettenangriffe auf Extension Registries haben sich in den letzten Monaten massiv verschärft und sind mit der verbreiteten GlassWorm-Attacke Ende letzten Jahres öffentlichkeitswirksam geworden. Erweiterungen für IDEs und Code-Editoren laufen ohne Sandbox und besitzen weitreichende Berechtigungen: Sie haben Zugriff auf das System, den Quellcode und die Secrets. Das macht sie zu einem attraktiven Einstiegspunkt für Supply-Chain-Angriffe.

Open VSX hat als Reaktion darauf seit Anfang 2026 Prüfungen vor der Veröffentlichung verstärkt. Die Pakete durchlaufen mehrere Stufen:

• Ähnlichkeits-Checks vergleichen Namen, um Typosquatting zu erkennen – etwa wenn jemand versucht, eine Extension „esllint“ statt „eslint“ hochzuladen.
• Malware-Scanner prüfen signaturbasiert nach bekannten Schadcode-Mustern.
• Secrets-Scanning sucht nach versehentlich enthaltenen Token oder Zugangsdaten wie AWS-Schlüsseln.

Verdächtige Uploads landen in einer Quarantäne für die manuelle Sichtung durch Admins. Als Open-Source-Projekt lässt sich Open VSX auch selbst hosten – ein Aspekt, der für europäische Unternehmen in Hinblick auf die digitale Souveränität relevant ist.

(who)

Wer am Donnerstag oder Freitag vergangener Woche, also dem 9. oder 10. April 2026, die System-Analysewerkzeuge von der CPUID-Webseite wie CPU-Z oder HWMonitor heruntergeladen hat, sollte den Rechner auf Malware-Befall untersuchen. Die Webseite lieferte an diesen Tagen für mehrere Stunden zufällig Links auf Malware anstatt auf die regulären Installationspakete aus.

Den genauen Vorfall mit tiefgehender Malware-Analyse beschreibt ein Dokument des IT-Forschers mit Handle nemesis auf GitHub. Demnach konnten Angreifer die CPUID-Webseite über eine Schwachstelle in einer API kompromittieren. Die Webseite hatte dadurch demnach zufällig bösartige Links angezeigt. Die signierten Originaldateien wurden allerdings nicht verändert.

Manipulierte Download-Pakete

Die Analyse beschreibt, dass die Malware-Pakete glaubwürdige Dateinamen wie „cpu-z_2.19-en.zip“ trugen und die legitimen CPU-Z-Dateien enthielten, nebst einer bösartigen CRYPTBASE.dll. Die missbraucht die Standard-Windows-Suchreihenfolge, die diese Datei zunächst im aktuellen Verzeichnis und erst dann in Systemverzeichnissen sucht. Dadurch gelangt der Schadcode durch diese sogenannte „DLL Sideloading“-Schwachstelle zur Ausführung. Nach der Ausführung folgt eine mehrstufige Infektionskette. Eine von Kaspersky als „Backdoor.Win64.Alien“ erkannte Backdoor wird dabei persistent im System verankert. Die Analyse liefert diverse Anzeichen für erfolgreiche Angriffe (Indicators of Compromise, IOC).

Der Analyse von vxunderground auf Bluesky zufolge wurde der Angriff etwa ab 1 Uhr morgens am Freitag nach mitteleuropäischer Ortszeit (7 pm EST) entdeckt. Auch das HWMonitor-Paket lag dadurch in manipulierter Fassung als Download vor. Ein weiterer Kommentar weist auf eine Stellungnahme des CPU-Z- und HWMonitor-Maintainers @d0cTB. Demnach dauerten die Untersuchungen noch an, jedoch scheint eine API für sekundäre Funktionen der Webseite für etwa sechs Stunden kompromittiert gewesen zu sein. Dadurch habe die Hauptseite zufällig bösartige Links angezeigt. Die signierten Originaldateien wurden dabei nicht kompromittiert. Der Einbruch wurde entdeckt und daraufhin gestoppt.

Laut der tiefergehenden Analyse von nemesis handelt es sich um einen Lieferkettenangriff, bei dem die offizielle CPUID-Download-Infrastruktur bösartige Dateien ausgeliefert habe. Die Download-Links wurden dabei auf einen Cloudflare-C2-Speicher umgeleitet, anstatt auf die Standard-Infrastruktur von CPUID zu verweisen. Die Angreifer lieferten ihre eigenen trojanisierten Pakete aus, die durch russischsprachige Installer auffielen; die signierten Original-Installer wurden nicht manipuliert. Es gab also zwei Varianten der manipulierten Pakete, einmal die ausführbaren InnoSetup-Installer und dann die neu verpackten .zip-Dateien mit der zusätzlichen bösartigen CRYPTBASE.dll. Die Analyse erwähnt zudem eine ähnliche Malware-Kampagne gegen FileZilla Anfang März 2026, was auf dieselben Angreifer deute.

Wer im fraglichen Zeitraum die Software von CPUID heruntergeladen hat, sollte prüfen, ob es sich um die bekannten Malware-Varianten handelt. Auf VirusTotal sollten die Scanner inzwischen zu einem Großteil darauf anschlagen.

Lieferketten- oder auch Supply-Chain-Angriffe treffen viele Unternehmen. So konnten Angreifer vor rund zwei Wochen durch eine Supply-Chain-Attacke auf LiteLLM auf interne Cisco-Daten zugreifen. Dabei sollen Quellcode und Kundendaten gestohlen worden sein.

(dmk)

SAP kümmert sich am April-Patchday in 19 neuen Sicherheitsnotizen um Schwachstellen in diversen Produkten. Eine davon gilt als kritisch und erlaubt Angreifern das Einschleusen von SQL-Befehlen, eine weitere als hochriskant. Einen Großteil der Sicherheitslecks hat das Unternehmen als mittleres Risiko eingestuft, zwei sogar nur als niedrigen Bedrohungsgrad.

Die Patchday-Übersicht für den April von SAP listet die einzelnen Schwachstellen sowie zugehörige CVE-Schwachstelleneinträge auf. Am schwerwiegendsten ist eine unzureichende Autorisierungsprüfung in SAP Business Planning and Consolidation sowie in SAP Business Warehouse, durch die authentifizierte Nutzer und Nutzerinnen manipulierte SQL-Statements zum Lesen, Verändern und Löschen von Datenbank-Daten ausführen können (CVE-2026-27681, CVSS 9.9, Risiko „kritisch“).

Als hochriskant gilt den Entwicklern eine fehlende Autorisierungsprüfung in SAP ERP und SAP S/4HANA sowohl in der Private Cloud als auch On-Premise. Die ermöglicht angemeldeten Angreifern, einen bestimmten ABAP-Report auszuführen und damit jeden bestehenden achtstelligen ausführbaren ABAP-Report unbefugt zu überschreiben. Dadurch kann bei überschriebenen Reports die eigentlich angedachte Funktion nicht mehr verfügbar sein (CVE-2026-34256, CVSS 7.1, Risiko „hoch“).

Weitere bedachte SAP-Sicherheitslücken

15 weitere Sicherheitslücken erhalten die Einstufung als mittleres Risiko. Sie betreffen

• SAP BusinessObjects Business Intelligence Platform
• SAP Human Capital Management for SAP S/4HANA
• SAP Business Analytics and SAP Content Management
• SAP S/4HANA OData Service (Manage Reference Equipment)
• SAP S/4HANA Backend OData Service (Manage Reference Structures)
• SAP S/4HANA Frontend OData Service (Manage Reference Structures)
• SAP Supplier Relationship Management (SICF Handler in SRM Catalog)
• SAP NetWeaver Application Server Java (Web Dynpro Java)
• SAP NetWeaver Application Server ABAP
• SAP HANA Cockpit und HANA Database Explorer
• SAP S/4HANA (Private Cloud und On-Premise)
• Material Master Application
• SAP S/4HANA OData Service (Manage Technical Object Structures)
• SAP BusinessObjects Business Intelligence Platform

Außerdem hat SAP eine ältere Sicherheitsnotiz SAP S4CORE (Manage Journal Entries) aus dem November 2025 aktualisiert. Die beiden als niedriges Risiko eingestuften Schwachstellen betreffen SAP NetWeaver Application Server ABAP und SAP Landscape Transformation.

IT-Verantwortliche sollten prüfen, ob sie die verwundbare Software einsetzen, und gegebenenfalls die angebotenen Aktualisierungen anwenden. Am SAP-Patchday im März dieses Jahres hatten Admins von SAP Flicken zum Ausbessern von 15 Schwachstellen erhalten. Davon galten zwei als kritische Bedrohung.

(dmk)