Das Muster heute Morgen ist Angreiferhebel über vertrauenswürdig wirkende Infrastruktur: Enterprise-Workflow-Software, Linux-Kernel, Entwickler-Abhängigkeiten und legitime Cloud-E-Mail wurden zu schnellen Angriffswegen, sobald Teams den Kanal selbst für sicher hielten.
Kurz gesagt: Weaver E-cology und Linux-Kernel schnell patchen, lightning 2.6.3 überall entfernen, wo es importiert wurde, exponierte Secrets rotieren und Amazon-SES-Missbrauch als Cloud-Identitätsproblem statt nur als Mailfilter-Thema behandeln.
Laut BleepingComputer wird CVE-2026-22679 in Weaver E-cology seit Mitte März ausgenutzt. Vega beschreibt eine unauthentifizierte RCE über eine exponierte Debug-API, die Angreiferparameter bis zu Backend-RPC-Funktionen und Systembefehlen durchreichte. Beobachtet wurden Recon-Kommandos, PowerShell-Payloads und wiederholtes dateiloses Nachladen von Skripten.
CISA hat CVE-2026-31431, die Linux-Schwachstelle Copy Fail, einen Tag nach der Offenlegung in den KEV-Katalog aufgenommen. Der Fehler sitzt in der algif_aead-Schnittstelle und erlaubt unprivilegierten lokalen Nutzern Root-Rechte, indem kontrollierte Bytes in den Page Cache einer lesbaren Datei geschrieben werden. Theori meldet denselben zuverlässigen Exploit auf Ubuntu, Amazon Linux, RHEL und SUSE.
Ein bösartiges lightning-2.6.3-Release auf PyPI lud beim Import automatisch Bun nach und startete eine verschleierte JavaScript-Payload. Laut Bericht zielte diese auf Browserdaten, .env-Dateien, API-Schlüssel, Cloud-Credentials und unterstützte beliebige Befehlsausführung. Bei mehr als 11 Millionen Downloads im Monat reicht schon ein kleiner Befall für einen massiven Vertrauensbruch.
Kaspersky beobachtet einen Anstieg von Phishing über Amazon SES, häufig ermöglicht durch geleakte AWS-IAM-Schlüssel in Repositories, .env-Dateien, Backups, Images oder offenen S3-Buckets. Weil die Nachrichten über legitime SES-Infrastruktur kommen, bestehen sie SPF, DKIM und DMARC oft problemlos und unterlaufen klassische Blocklisten.
Fazit: Der gemeinsame Fehler heute ist falsches Vertrauen in legitim wirkende Kanäle. Die Abhilfe ist unerquicklich, aber klar: schnell patchen, Secrets ohne Diskussion rotieren und jede vertraute Plattform prüfen, als läge der Angriffsweg bereits durch sie hindurch.
KENSAI hilft Teams dabei, exponierte Services, schwache Identitätspfade, riskante Abhängigkeiten und Cloud-Angriffsflächen zu kartieren, bevor vertrauenswürdige Infrastruktur zum Incident-Treibstoff wird.
Kostenlosen Scan starten →Bleiben Sie scharf.
🗡️ KENSAI Security Team