Die Hackergruppe TeamPCP hat am 29. April offenbar Schadcode in mehrere npm-Pakete des deutschen Softwareunternehmens SAP eingeschleust. Die Payload der manipulierten Paketversionen stiehlt unter anderem SSH‑Schlüssel, Cloud‑Credentials, Kubernetes‑Konfigurationen und GitHub‑Token. Entwicklerinnen und Entwickler sollten umgehend handeln, empfehlen die Sicherheitsforscher von Socket.

Socket führt in seinem Blog vier bösartige npm-Pakete auf, die anscheinend von der berüchtigten Hackergruppe TeamPCP in Umlauf gebracht wurden: mbt@1.2.48, @cap-js/db-service@2.10.1, @cap-js/postgres@2.2.2 und @cap-js/sqlite@2.2.2. Die Pakete gehören zum JavaScript- und Cloud-Anwendungsentwicklungs-Ökosystem von SAP und bringen es laut den Sicherheitsforschern zusammen auf mehr als 550.000 Downloads pro Woche. Verfügbar waren die vier Pakete auf npmjs.com, der von GitHub betriebenen zentralen Paket‑Registry für JavaScript/Node.js‑Pakete.

Angriff über modifiziertes package.json

Die kompromittierten Pakete enthalten jeweils ein modifiziertes package.json mit dem preinstall‑Hook "preinstall" : "node setup.mjs". Das Skript setup.mjs wird automatisch ausgeführt, sobald jemand das Paket installiert, egal ob lokal oder in einer CI‑Pipeline. Dann stößt der Hook den Download einer Bun-Binary von GitHub an, entpackt sie und startet den Download der Payload, der 11,7 MB großen Datei execution.js.

Auf Entwicklersystemen hat es die Infostealer-Malware auf zahlreiche Datentypen abgesehen, darunter zum Beispiel auf SSH-Schlüssel und Cloud-Zugangsdaten für Amazon Web Services (AWS), Google Cloud Platform (GCP), Kubernetes und Microsoft Azure. Im Fokus stehen außerdem GitHub CLI- und npm-Token, Konfigurationsdateien und Krypto-Wallets. Die gestohlenen Daten landen anschließend verschlüsselt in einem GitHub‑Repository. Findet die Malware keine GitHub-Credentials, erstellt sie ein neues GitHub-Konto und nutzt dieses für die Exfiltration der Daten.

Shai-Hulud im Kleinformat

Die Schadversionen waren laut den Sicherheitsforschern von Onapsis insgesamt nur etwa zwei bis vier Stunden lang im Umlauf. Entwicklerinnen und Entwicklern, die die genannten Paketversionen verwenden, empfiehlt Socket dennoch eine umgehende Aktualisierung und rät außerdem dazu, sämtliche mit den Paketen genutzte Zugangsdaten zu erneuern. Bereinigte Nachfolgeversionen der Pakete stehen auf npmjs.com bereit. SAP hat den Vorfall in der Security Note 3747787 dokumentiert.

Für die Sicherheitsforscher von Socket hat die aktuelle Malware-Attacke technisch und operativ viel mit den Shai-Hulud-Angriffen gemeinsam, die letztes Jahr in großem Umfang liefen. Weil der TeamPCP-Angriff jedoch auf ein kleineres und spezifisches Ökosystem abzielt, bezeichnen sie ihn als Mini Shai‑Hulud.

(mro)

Die jahrelange Abwesenheit von HDMI 2.1 für quelloffene Linux-Treiber hat ein Ende. Erste Patches gibt es für den Radeon-Kernel-Treiber AMDGPU und den Community-Treiber Nouveau für Nvidia-GeForce-Grafikkarten. Sie unterstützen den mit HDMI 2.1 eingeführten Fixed Rate Link (FRL), der für die erhöhte Datenübertragungsrate notwendig ist.

Das verantwortliche HDMI-Forum blockierte Open-Source-Treiber für HDMI 2.1 unter Linux jahrelang. Aktuelle Grafikkarten waren deswegen auf HDMI 2.0 beschränkt, obwohl ihre Anschlüsse mit dem neueren 2.1er-Standard umgehen können.

Ein AMD-Treiberentwickler bestätigte im Phoronix-Forum, dass eine vollständige HDMI-2.1-Implementierung erscheinen soll: „Eine vollständige Implementierung wird letztlich verfügbar sein, sobald die Patches fertiggestellt und die Konformitätsprüfungen abgeschlossen sind.“

Jahrelanger Stillstand

Ob das HDMI-Forum eingeknickt ist oder AMD zusammen mit Valve eine unabhängige Lösung gefunden hat, verrät derweil keine der Parteien. Klar ist, dass AMD schon 2021 eine Open-Source-Implementierung entwickelt hat, deren Veröffentlichung das HDMI-Forum jedoch verbot. Das Argument: Selbst ohne Komponenten des HDMI-Forums im Treiber würde AMD die Lizenzbestimmungen verletzen. Ende 2025 bestätigte Valve, an der Blockade durch den Lizenzgeber zu arbeiten.

Valve treibt Linux-Gaming seit Jahren voran, vor allem im Zusammenspiel mit AMD-GPUs, die im Handheld-PC Steam Deck und dem kommenden Wohnzimmer-PC Steam Machine zum Einsatz kommen. HDMI-2.1-Support ist für die Steam Machine wichtig, um ohne Bastellösungen und Einschränkungen moderne 4K-Fernseher mit mehr als 60 Hertz ansteuern zu können.

Der Druck auf das HDMI-Forum wuchs seit Jahresbeginn, da etwa der Entwickler Michał Kopeć schon inoffizielle HDMI-2.1-fähige AMDGPU-Treiber veröffentlicht hat. Im Falle von Nouveau hat einer der verantwortlichen Red-Hat-Kernel-Entwickler, David Airlie, einen Patch mit Fixed Rate Link veröffentlicht. Bei Nvidia-GPUs funktioniert das offenbar, weil der integrierte GPU System Processor (GSP) weite Teile der Ausführung übernimmt. Hier könnte der AMDGPU-Treiber künftig helfen, um mehr Funktionen wie variable Refresh-Raten (HDMI VRR) einzuführen.

(mma)

Drei Forscher von der ETH Zürich haben in einer Studie mit hundert Studierenden untersucht, welche Fähigkeiten zu guten Ergebnissen beim Vibe-Coden führen. Dabei zeigte sich, dass Informatikkenntnisse und eine gute Sprachfähigkeit hilfreich sind. Schlechtere Ergebnisse lieferten überraschenderweise die Teilnehmerinnen und Teilnehmer, die KI häufiger im Alltag nutzen.

Für die Studie haben Sverrir Thorgeirsson, Theo Weidmann und Zhendong Su den hundert Studentinnen und Studenten, die bereits einen Einführungskurs in Informatik absolviert hatten, drei Vibe-Coding-Aufgaben gestellt: Sie sollten eine App zur Planung von Mahlzeiten nachbauen, eine App zur Organisation der eigenen Universitätskurse um neue Funktionen erweitern und eine abstrakte App ohne erkennbaren Zweck ebenfalls nachbauen.

Um die Ergebnisse besser einordnen zu können, prüften die Forscher zusätzlich die allgemeinen kognitiven Fähigkeiten der Teilnehmer, ihre Informatikkenntnisse und ihre schriftliche Ausdrucksfähigkeit in einem kurzen Essay.

Informatiker coden besser vibe

Im Ergebnis zeigt sich, dass Informatikkenntnisse den größten Einfluss auf eine erfolgreiche Lösung der Aufgaben hatten. Dieser Effekt bleibt auch bestehen, wenn die Forscher die Unterschiede in den allgemeinen kognitiven Fähigkeiten der Studierenden nivellierten. Allerdings zeigt die Studie hier nur eine Korrelation und gibt keine Auskunft über die ursächlichen Zusammenhänge. Die Wissenschaftler vermuten jedoch, dass Personen, die besser verstehen, wie Programme funktionieren, einer KI auch effizientere Anweisungen geben können.

Ebenfalls vorteilhaft zeigten sich sprachliche Fähigkeiten. Studenten, die sich besser und strukturierter ausdrücken können, schreiben auch die erfolgreicheren Prompts. Unklare oder ungenaue Formulierungen ergeben hingegen eher fehlerhafte Programme.

Viel-Prompter sind schlechter

Als überraschende Erkenntnis zeigte sich, dass Studierende, die im Alltag besonders oft KI nutzen, sowohl beim Schreiben der Essays als auch beim Vibe Coding schlechter abschnitten. Warum das so ist, erklärt die Studie ebenfalls nicht. Für die Autoren wäre es denkbar, dass der häufige Einsatz von Sprachmodellen die eigene Ausdrucksfähigkeit schwächt. Umgekehrt könnten aber auch Studenten, die beim Schreiben eher Schwierigkeiten haben, schneller zu KI-Tools greifen.

(who)