End-of-Day report
Timeframe: Montag 27-04-2026 18:00 - Dienstag 28-04-2026 18:00
Handler: Guenes Holler
Co-Handler: Michael Schlagenhaufer
News
Open source package with 1 million monthly downloads stole user credentials
On Friday, unknown attackers exploited the vulnerability to push a new version of element-data, a command-line interface that helps users monitor performance and anomalies in machine-learning systems. [..] The malicious version was tagged as 0.23.3 and was published to the developers- Python Package Index and Docker image accounts. It was removed about 12 hours later, on Saturday. [..] If you-re one of millions using element-data, it-s time to check for compromise.
https://arstechnica.com/security/2026/04/open-source-package-with-1-million-monthly-downloads-stole-user-credentials/
Windows-Shell-Lücke wird angegriffen
Im Februar hat Microsoft eine Windows-Shell-Lücke geschlossen, jedoch unvollständig. Jetzt wurden Angriffe entdeckt. [..] Die Auswirkungen scheinen nicht so gravierend wie vor dem unzureichenden Patch aus dem Februar. [..] Akamai hat im Blog jedoch eine weitergehende Analyse veröffentlicht. Die IT-Analysten stufen die neue Schwachstelle anders als Microsoft als Zero-Click-Schwachstelle ein. [..] Microsoft hat die neue Schwachstelle CVE-2026-32202 (CVSS 4.3, Risiko -mittel-) am April-Patchday mit Softwareflicken ausgebessert.
https://www.heise.de/news/Windows-Shell-Luecke-wird-angegriffen-11274647.html
Checkmarx confirms LAPSUS$ hackers leaked its stolen GitHub data
Application security company Checkmarx has confirmed that the LAPSUS$ threat group leaked data stolen from its private GitHub repository. Although the investigation is ongoing, Checkmarx believes that the access vector was the Trivy supply-chain attack attributed to the hacker group known as TeamPCP. which provided access to credentials from downstream users.
https://www.bleepingcomputer.com/news/security/checkmarx-confirms-lapsus-hackers-leaked-its-stolen-github-data/
Cyberangriff trifft Medtronic: Datenklau bei großem Medizintechnik-Konzern
Medtronic ist vor allem für seine Herzschrittmacher bekannt. Nun gesteht der Konzern, dass Hacker Daten aus seiner IT-Umgebung abziehen konnten. [..] Shinyhunters hatte Medtronic einem Bericht von Bleeping Computer zufolge schon am 18. April im Darknet erpresst. Die Hackergruppe gab dort an, mehr als neun Millionen Datensätze respektive "Terabytes" an personenbezogenen Daten und anderen unternehmensinternen Informationen erbeutet zu haben. [..] Der Konzern versichert zudem, die Netzwerke seiner Krankenhauskunden seien von den IT-Netzwerken von Medtronic getrennt und würden von den IT-Teams der jeweiligen Kunden gesichert und verwaltet.
https://www.golem.de/news/datenklau-cyberangriff-trifft-medizintechnik-konzern-medtronic-2604-208080.html
Cyber Threat Intelligence - Art, Science, something else entirely?
As everyone who has been in this area for a while can probably still remember, hoarding indicators of compromise is a fun activity and can be incredibly enticing when you have not yet a real clue of what you are doing. It is, at least initially, certainly more interesting than diving straight into anthropological, psychological, sociological, or analytical textbooks. However, as I became more experienced in and, more importantly, more fascinated by the analytical work that makes intelligence .. well, intelligence .. I began to notice that it's not really clear what "type" of activity intelligence analysis is.
https://bytesandborscht.com/cyber-threat-intelligence-art-science-something-else-entirely/
Secure-Boot-Zertifikate: Microsoft Defender verschafft Überblick
Die Zeit wird knapp: Die Secure-Boot-Zertifikate aus 2011 laufen ab Juni dieses Jahres ab. [..] Im Message-Center der Windows-Release-Health-Notizen hat Microsoft jetzt die neue Funktion für den Microsoft Defender angekündigt. [..] Jetzt können IT-Teams an zentraler Stelle die Verbreitung der Secure-Boot-Zertifikate aus dem Jahr 2023 in ihrem Gerätepark einsehen, erklärt das Unternehmen.
https://www.heise.de/news/Secure-Boot-Zertifikate-Microsoft-Defender-verschafft-Ueberblick-11275033.html
VECT: Ransomware by design, Wiper by accident
VECT Ransomware is a Ransomware-as-a-Service (RaaS) program that made its first appearance in December 2025 on a Russian-language cybercrime forum. [..] Check Point Research discovers that the VECT 2.0 ransomware permanently destroys -large files- rather than encrypting them.
https://research.checkpoint.com/2026/vect-ransomware-by-design-wiper-by-accident/
KI-Enkeltrick und Deepfakes: Interpol warnt vor verschärfter Betrugswelle
Europa ist zum primären Ziel einer weltweiten Betrugswelle geworden. Laut dem -Global Financial Fraud Threat Assessment 2026- von Interpol verzeichnete keine andere Region einen so starken Anstieg bei Betrugsmaschen: ein Plus von 69 Prozent im Vergleich zum Vorjahr. [..] Der Interpol-Bericht verdeutlicht, dass der Erfolg dieser Betrugsmaschen auf einer hochgradig arbeitsteiligen Unterwelt basiert. Ein Faktor sei die Zunahme von -Fraud-as-a-Service--Modellen.
https://heise.de/-11274056
Vulnerabilities
Xen Security Advisories 20.04.2026
Xen has released 5 new security advisories.
https://xenbits.xen.org/xsa/
Mozilla Security Advisories for Firefox 28.04.2026
Mozilla has release multiple security advisories for Firefox ESR 115.35.1, Firefox ESR 140.10.1 and Firefox 150.0.1. (1x critical)
https://www.mozilla.org/en-US/security/advisories/
Notepad++ Releases 8.9.4 Patch to Fix String Injection Vulnerability (CVE-2026-3008) in 8.9.3
A vulnerability has been identified in the popular open-source text editor, Notepad++, with the release of CVE-2026-3008. The vulnerability, discovered and reported by CSA under its Responsibility Vulnerability Disclosure Policy, is linked to a potential string injection flaw in Notepad++ version 8.9.3. To mitigate the risk associated with this vulnerability, users and administrators are strongly urged to update their installations to version 8.9.4 immediately.
https://thecyberexpress.com/notepad-cve-2026-3008-vulnerability/
Security updates available in Foxit PDF Reader 2026.1.1 and Foxit PDF Editor 2026.1.1/14.0.4
https://www.foxit.com/support/security-bulletins.html
LWN: Security updates for Tuesday
https://lwn.net/Articles/1070184/
Zyxel security advisory for command injection vulnerabilities in certain 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONTs, and Wireless Extenders
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-command-injection-vulnerabilities-in-certain-4g-lte-5g-nr-cpe-dsl-ethernet-cpe-fiber-onts-and-wireless-extenders-04-28-2026