Unbekannte Angreifer haben die Datenbank der Behörde für abgesicherte Ausweise (ANTS) Frankreichs geknackt. Das hat die Behörde am 15. April festgestellt und sechs Tage später öffentlich bekanntgegeben. Demnach sind 11,7 Millionen Online-Konten betroffen. Laut französischer Medienberichte wird der erbeutete Datensatz bereits auf dem Schwarzmarkt feilgeboten. Dabei würden sogar 19 Millionen Datensätze versprochen.

Der Grund für den deutlichen Unterschied ist nicht gesichert. Der Verkäufer könnte schlicht übertreiben, oder Konten, die von der ANTS mehrere Dokumente bezogen haben, mehrfach zählen. Laut Behörde enthalten die erbeuteten Datensätze Username, Anrede, Vor- und Nachname, E-Mail-Adresse, Geburtsdatum, Kontonummer und, für einen Teil der Konten, zusätzlich Postadresse, Geburtsort und Telefonnummer. Anträgen auf Ausweise und andere Dokumente müssen in aller Regel weitere Dokumente beigefügt und allzu oft biometrische Datensätze mitgegeben werden. Diese hat sich der Täter nach bisherigem Ermittlungsstand nicht aneignen können, sagt die Behörde.

Die ANTS (Agence nationale des titres sécurisés) ist auch als France Titre bekannt. Es handelt sich um eine Abteilung des französischen Innenministeriums. Sie ist zuständig für die Ausstellung von Reisepässen, Personalausweisen, sowie Führerscheinen für Straßenfahrzeuge und Motorboote, sowie für Dokumente über die Zulassung von Kraftfahrzeugen, Aufenthaltstitel, Visa und eine Reihe weiterer Ausweise und Dokumente für Aufenthalte und Grenzübertritte. Gedruckt werden die Papiere allerdings von der Staatsdruckerei (Imprimerie nationale).

Wie der Einbruch in die Datenbank gelungen ist, sagt die ANTS nicht. Das ist offenbar noch Gegenstand der laufenden Untersuchung. Betroffene sind per E-Mail informiert worden. Bestimmte Vorkehrungen empfiehlt das Innenministerium Frankreichs Bürgern nicht, außer, dass sie beim nächsten Login ihr ANTS-Passwort ändern sollen.

(ds)

Angreifer können insgesamt sieben Sicherheitslücken in VMware Tanzu Spring Security ausnutzen und im schlimmsten Fall eigenen Code ausführen. Mittlerweile sind Sicherheitsupdates verfügbar. Auch wenn es bislang keine Hinweise seitens des Softwareherstellers auf Attacken gibt, sollen Admins die Patches zeitnah installieren.

Tanzu Spring Security ist ein Authentifizierungs- und Zugriffskontroll-Framework, um den Umgang mit Spring-basierten Anwendungen so sicher wie möglich zu gestalten. Nun wird es aber selbst zum Sicherheitsrisiko.

Verschiedene Gefahren

Am gefährlichsten gilt einer Warnmeldung zufolge eine „kritische“ Schwachstelle (CVE-2026-22752) im Rahmen der Dynamic Client Registration. Weil Metadatenfelder bei der Registrierung eines neuen Clients nicht ausreichend überprüft werden, können Angreifer dort einen Exploit platzieren. Dafür müssen sie aber bereits über einen gültigen Initial Access Token verfügen. Klappt eine Attacke, können Angreifer einen unter ihrer Kontrolle stehenden Client registrieren und unter anderem im Rahmen einer Stored-XSS-Attacken Schadcode ausführen.

Zwei weitere Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2026-22754, CVE-2026-22753). Weil Angreifer Anfragen an Pfade, die eigentlich geschützt sein sollten, schicken können, sind Sicherheitsmechanismen umgehbar.

Sicherheitspatches installieren

Die Entwickler versichern, die Sicherheitsprobleme in der Tanzu-Spring-Security-Ausgabe 7.0.5 und Spring Authorization Server 1.3.11, 1.4.10 und 1.5.7 gelöst zu haben.

Weitere Details zu den Softwareschwachstellen und bedrohten und abgesicherten Versionen finden Admins im Sicherheitsbereich der VMware-Tanzu-Website.

(des)

Zwischen 23:57 Uhr am 22. April und 01:30 Uhr am 23. April deutscher Zeit (17:57 Uhr bis 19:30 Uhr ET) wurde das npm-Paket @bitwarden/cli in der Version 2026.4.0 mit Schadcode ausgeliefert. Diese manipulierte Version stahl Zugangsdaten der Nutzer. Bitwarden betont allerdings, dass im eigentlichen Safe abgelegte Daten von Endnutzern (Vault-Data) nicht betroffen seien.

Wie Bitwarden in seinem Community-Forum mitteilte, habe das Sicherheitsteam das manipulierte Paket identifiziert und eingedämmt. Die Verteilung erfolgte demnach ausschließlich via NPM, wer das Paket in der fraglichen Zeit nicht via NPM bezogen habe, sei nicht betroffen. Die kompromittierte Version sei mittlerweile als deprecated markiert und der missbrauchte Zugang widerrufen worden. Der Vorfall ist Teil eines größeren Angriffs auf die Checkmarx-Lieferkette.

Raffinierter Credential-Stealer mit Fallback-Mechanismen

Sicherheitsforscher von JFrog und Socket.dev haben die Malware im Detail analysiert. Das manipulierte package.json enthielt ein preinstall-Skript, das automatisch beim Installieren eine Loader-Datei namens bw_setup.js ausführte. Diese lud die Bun-Runtime (Version 1.3.13) von GitHub herunter und startete ein obfuskiertes JavaScript-Payload (bw1.js).

Der Schadcode zielte auf ein breites Spektrum sensibler Daten: GitHub- und npm-Tokens, SSH-Schlüssel, Shell-Historien sowie Zugangsdaten für AWS, Google Cloud und Azure. Ferner wurden GitHub-Actions-Secrets, Git-Credentials, .env-Dateien und sogar Konfigurationsdateien von KI-Tools wie Claude und MCP ausgelesen und an die Angreifer geschickt.

Die Exfiltration erfolgte primär verschlüsselt an die Adresse audit.checkmarx.cx (IP: 94.154.172.43). Als Fallback nutzte die Malware einen raffinierten Mechanismus: Gestohlene GitHub-Tokens wurden validiert, um unter dem Konto des Opfers Repositories zur Datenexfiltration anzulegen. Double-Base64-kodierte PATs wurden dabei in Commit-Messages mit dem Marker „LongLiveTheResistanceAgainstMachines“ versteckt.

Sofortige Gegenmaßnahmen erforderlich

Wer die Version 2026.4.0 im genannten Zeitfenster installiert hat, sollte umgehend handeln. Bitwarden empfiehlt die Deinstallation mit npm uninstall -g @bitwarden/cli und das Leeren des npm-Cache. Auf betroffenen Systemen sollten Administratoren nach den Artefakten bw_setup.js, bw1.js sowie einer heruntergeladenen Bun-Runtime suchen.

Besonders wichtig ist die Rotation sämtlicher Zugangsdaten, die auf dem kompromittierten System gespeichert waren: GitHub Personal Access Tokens, npm-Tokens, AWS Access Keys, Azure- und GCP-Secrets sowie SSH-Schlüssel. Auch GitHub-Actions-Workflows sollten auf unautorisierte Ausführungen geprüft werden. Die Domain audit.checkmarx.cx und die IP 94.154.172.43 sollten in Firewalls blockiert werden.

Aktuell liefern alle Repositories wieder die reguläre Version 2026.3.0 aus. Diese und alle anderen Versionen der Bitwarden CLI außer 2026.4.0 sind laut Hersteller nicht betroffen. Produktionssysteme und Vault-Daten seien zu keinem Zeitpunkt kompromittiert worden.

(ju)