Das Thema heute Morgen ist simpel: Wenn vertrauenswürdige Infrastruktur vergiftet wird, brauchen Angreifer keine exotische Magie mehr.
Kurzfassung: Drei Geschichten verdienen heute Morgen sofort Aufmerksamkeit: offizielle SAP-npm-Pakete wurden zum Diebstahl von Entwickler- und CI-Geheimnissen hintertürig verändert, cPanel und WHM lieferten ein Notfall-Update gegen einen kritischen Authentifizierungs-Bypass, und Linux-Maintainer patchen mit Hochdruck die neue Privilege-Escalation-Lücke Copy Fail.
Vier offizielle SAP-npm-Pakete rund um das Cloud Application Programming Model und Cloud MTA wurden mit einer bösartigen Preinstall-Kette versehen. Laut BleepingComputer, Aikido und Socket lädt die Nutzlast Bun nach, startet einen verschleierten Stealer und sucht nach GitHub-Tokens, npm-Tokens, SSH-Schlüsseln, Cloud-Credentials, Kubernetes-Secrets und CI/CD-Umgebungsvariablen. Noch schlimmer: Sie soll direkt den Speicher von Runnern auslesen und sich mit gestohlenen Tokens selbst weiterverbreiten.
cPanel und WHM haben ein Notfall-Update für CVE-2026-41940 veröffentlicht, einen Authentifizierungs-Bypass mit Schweregrad 9,8, der praktisch alle außer den neuesten unterstützten Builds betrifft. Namecheap blockierte die exponierten Management-Ports vorübergehend, noch bevor Patches bereitstanden – das zeigt, wie ernst Hoster die Lage nahmen. Wer cPanel übernimmt, bekommt Websites, Mail, Datenbanken und Konfigurationen; wer WHM übernimmt, besitzt den ganzen Hosting-Server samt aller Tenants.
The Register berichtet, dass die neue Lücke Copy Fail, CVE-2026-31431, einem unprivilegierten lokalen Nutzer erlaubt, vier kontrollierte Bytes in den Page Cache einer beliebigen lesbaren Datei zu schreiben und daraus Root zu machen. Der PoC ist winzig, umgeht klassische File-Event-Tripwires und betrifft weit mehr als Laptops: Shared-Kernel-Container, CI-Runner und Multi-Tenant-Linux-Systeme sind genau die Orte, an denen aus einer lokalen Privilege Escalation nach einem ersten Fuß in der Tür ein echtes externes Risiko wird.
Beginnen Sie bei der Software-Lieferkette, schließen Sie dann exponierte Hosting-Kontrollflächen und patchen Sie danach Linux-Privileggrenzen überall dort, wo Angreifer bereits Code ausführen können. Der gemeinsame Fehler ist blindes Vertrauen in Infrastruktur, die alle für sicher halten.