End-of-Day report
Timeframe: Dienstag 21-04-2026 18:00 - Mittwoch 22-04-2026 18:00
Handler: Guenes Holler
Co-Handler: Felician Fuchs
News
New GoGra malware for Linux uses Microsoft Graph API for comms
A Linux variant of the GoGra backdoor uses legitimate Microsoft infrastructure, relying on an Outlook inbox for stealthy payload delivery.
https://www.bleepingcomputer.com/news/security/new-gogra-malware-for-linux-uses-microsoft-graph-api-for-comms/
New npm supply-chain attack self-spreads to steal auth tokens
A new supply chain attack targeting the Node Package Manager (npm) ecosystem is stealing developer credentials and attempting to spread through packages published from compromised accounts.
https://www.bleepingcomputer.com/news/security/new-npm-supply-chain-attack-self-spreads-to-steal-auth-tokens/
Inside Caller-as-a-Service Fraud: The Scam Economy Has a Hiring Process
Fraud operations now operate like call centers, complete with hiring, training, and performance tracking. Flare reveals how cybercriminals manage "Caller-as-a-Service" operations like a professional sales team.
https://www.bleepingcomputer.com/news/security/inside-caller-as-a-service-fraud-the-scam-economy-has-a-hiring-process/
13 Jahre unentdeckt: Mittels KI aufgespürte Lücke gefährdet Tausende Server
Hacker nutzen eine gefährliche und mithilfe von KI entdeckte Sicherheitslücke in Apache ActiveMQ aus. Auch in Deutschland sollten Admins tätig werden.
https://www.golem.de/news/deutschland-auf-platz-4-tausende-apache-activemq-instanzen-sind-angreifbar-2604-207808.html
Backdoor in Claude-Desktop-App: Stille Brücke aus dem Browser
Claude Desktop legt auf MacOS Native Messaging Hosts in jeden Chromium-Browser, sogar in noch nicht installierte. Das ist nicht harmlos - was nun zu tun ist.
https://www.golem.de/news/backdoor-in-claude-desktop-app-stille-bruecke-aus-dem-browser-2604-207881.html
Impressums-Diebstahl: Fake-Shops für Anhänger als Dauerbrenner
Sie zählen zu den am häufigsten gemeldeten Fake-Shops: Portale für KFZ-Anhänger. Zu Bestpreisen, versteht sich. Nach der Bezahlung via Vorauskasse sind die Kriminellen plötzlich nicht mehr erreichbar. Das Geld ist weg, der Anhänger kommt nie. Was die Shops so gefährlich macht und woran man sie erkennt, erklärt dieser Artikel.
https://www.watchlist-internet.at/news/fake-shops-anhaenger/
Kritische Schwachstelle in Microsoft-GitHub-Repository
Sicherheitsforscher von Tenable Research haben eine kritische Schwachstelle (CVSSv4 Score 9,3) in einem Microsoft-GitHub-Repository entdeckt. Die Sicherheitslücke ermöglicht Remote Code Execution (RCE) sowie unautorisierten Zugriff auf Repository-Secrets. Die Entdeckung unterstreicht, dass CI/CD-Infrastrukturen ein zentraler Bestandteil moderner Angriffsflächen sind.
https://borncity.com/blog/2026/04/22/kritische-schwachstelle-in-microsoft-github-repository/
Attacken laufen bereits: Rund 1.300 Sharepoint-Instanzen sind angreifbar
Eine Lücke in Microsoft Sharepoint lässt Angreifer vertrauliche Daten lesen und ändern. Obwohl es einen Patch gibt, sind die meisten Systeme ungeschützt.
https://www.golem.de/news/attacken-laufen-bereits-rund-1-300-sharepoint-instanzen-sind-angreifbar-2604-207864.html
Surge in Bomgar RMM Exploitation Demonstrates Supply Chain Risk ***
The critical remote code execution flaw (CVE-2026-1731) in the remote monitoring and management tool can be exploited to spread ransomware and compromise supply chains.
https://www.darkreading.com/cyberattacks-data-breaches/surge-bomgar-rmm-exploitation-demonstrates-supply-chain-risk
Vulnerabilities
Microsoft releases emergency patches for critical ASP.NET flaw
Microsoft has released out-of-band (OOB) security updates to patch a critical ASP.NET Core privilege escalation vulnerability. The security flaw (tracked as CVE-2026-40372) was found in the ASP.NET Core Data Protection cryptographic APIs, and it could allow unauthenticated attackers to gain SYSTEM privileges on affected devices by forging authentication cookies.
https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-security-updates-for-critical-aspnet-flaw/
Cohere AI Terrarium Sandbox Flaw Enables Root Code Execution, Container Escape
A critical security vulnerability has been disclosed in a Python-based sandbox called Terrarium that could result in arbitrary code execution. The vulnerability, tracked as CVE-2026-5752, is rated 9.3 on the CVSS scoring system.
https://thehackernews.com/2026/04/cohere-ai-terrarium-sandbox-flaw.html
Schadcode-Schlupflöcher bedrohen Apache Airflow und Airflow Keycloak
Apaches Open-Source-Workflow-Management-Plattformen Airflow und Airflow Keycloak sind verwundbar. Eine Lücke gilt als kritisch.
https://www.heise.de/news/Schadcode-Schlupfloecher-bedrohen-Apache-Airflow-und-Airflow-Keycloak-11268021.html
Oracle Critical Patch Update Advisory - April 2026
https://www.oracle.com/security-alerts/cpuapr2026.html
LWN Security updates for Wednesday
https://lwn.net/Articles/1069105/