← Zurück zum Blog
Sicherheitsbriefing4 min read2026-04-30

Sicherheitsbriefing, 30. April 2026: SAP-npm-Lieferketten-Backdoor, cPanel-Auth-Bypass und Linux-Root-Bug Copy Fail

Das Thema heute Morgen ist simpel: Wenn vertrauenswürdige Infrastruktur vergiftet wird, brauchen Angreifer keine exotische Magie mehr.


Kurzfassung: Drei Geschichten verdienen heute Morgen sofort Aufmerksamkeit: offizielle SAP-npm-Pakete wurden zum Diebstahl von Entwickler- und CI-Geheimnissen hintertürig verändert, cPanel und WHM lieferten ein Notfall-Update gegen einen kritischen Authentifizierungs-Bypass, und Linux-Maintainer patchen mit Hochdruck die neue Privilege-Escalation-Lücke Copy Fail.


1. Der SAP-npm-Kompromiss ist ein direkter Schuss auf Entwickler- und CI-Secrets

Vier offizielle SAP-npm-Pakete rund um das Cloud Application Programming Model und Cloud MTA wurden mit einer bösartigen Preinstall-Kette versehen. Laut BleepingComputer, Aikido und Socket lädt die Nutzlast Bun nach, startet einen verschleierten Stealer und sucht nach GitHub-Tokens, npm-Tokens, SSH-Schlüsseln, Cloud-Credentials, Kubernetes-Secrets und CI/CD-Umgebungsvariablen. Noch schlimmer: Sie soll direkt den Speicher von Runnern auslesen und sich mit gestohlenen Tokens selbst weiterverbreiten.


2. Das cPanel-Notfallpatch für den Auth-Bypass ist keine optionale Wartung

cPanel und WHM haben ein Notfall-Update für CVE-2026-41940 veröffentlicht, einen Authentifizierungs-Bypass mit Schweregrad 9,8, der praktisch alle außer den neuesten unterstützten Builds betrifft. Namecheap blockierte die exponierten Management-Ports vorübergehend, noch bevor Patches bereitstanden – das zeigt, wie ernst Hoster die Lage nahmen. Wer cPanel übernimmt, bekommt Websites, Mail, Datenbanken und Konfigurationen; wer WHM übernimmt, besitzt den ganzen Hosting-Server samt aller Tenants.


3. Copy Fail gibt Linux-Angreifern einen brutal einfachen Root-Pfad nach dem Erstzugriff

The Register berichtet, dass die neue Lücke Copy Fail, CVE-2026-31431, einem unprivilegierten lokalen Nutzer erlaubt, vier kontrollierte Bytes in den Page Cache einer beliebigen lesbaren Datei zu schreiben und daraus Root zu machen. Der PoC ist winzig, umgeht klassische File-Event-Tripwires und betrifft weit mehr als Laptops: Shared-Kernel-Container, CI-Runner und Multi-Tenant-Linux-Systeme sind genau die Orte, an denen aus einer lokalen Privilege Escalation nach einem ersten Fuß in der Tür ein echtes externes Risiko wird.

Was heute zu tun ist

Beginnen Sie bei der Software-Lieferkette, schließen Sie dann exponierte Hosting-Kontrollflächen und patchen Sie danach Linux-Privileggrenzen überall dort, wo Angreifer bereits Code ausführen können. Der gemeinsame Fehler ist blindes Vertrauen in Infrastruktur, die alle für sicher halten.

Quellen

  • BleepingComputer zu den kompromittierten offiziellen SAP-npm-Paketen sowie Folgeanalysen von Aikido und Socket.
  • BleepingComputer zu cPanel/WHM CVE-2026-41940 und den Notfall-Update-Hinweisen.
  • The Register zu CVE-2026-31431 „Copy Fail“ mit Patch-Verweisen auf Debian, Ubuntu, SUSE und Red Hat.