End-of-Day report
Timeframe: Dienstag 28-04-2026 18:00 - Mittwoch 29-04-2026 18:00
Handler: Guenes Holler
Co-Handler: Michael Schlagenhaufer
News
Per Git-Push-Befehl: Angreifer hätten Millionen von Github-Repos kapern können
Sicherheitsforscher von Wiz haben eine extrem gefährliche Sicherheitslücke in der internen Git-Infrastruktur von Github entdeckt. Laut Blogbeitrag der Forscher hätten Angreifer durch einen einfachen Git-Push-Befehl Schadcode auf die Backend-Server von Github schleusen und damit tief in die Infrastruktur eindringen können. Auch Github Enterprise Server ist betroffen. [..] Auf Github.com soll die Lücke innerhalb weniger Stunden nach Meldung der Forscher gepatcht worden sein. [..] Wer einen eigenen Github-Enterprise-Server betreibt, muss den Patch hingegen selbst einspielen, sofern noch nicht geschehen.
https://www.golem.de/news/per-git-push-befehl-angreifer-haetten-millionen-von-github-repos-kapern-koennen-2604-208133.html
Nach Cyberangriff: Hacker erpressen Vimeo mit Nutzerdaten
Der berüchtigte Cyberakteur Shinyhunters ist offenbar bei einem Cyberangriff auf einen Dienstleister an Daten der beliebten Videoplattform und Youtube-Alternative Vimeo gelangt. Betroffen sind laut Mitteilung des Betreibers sowohl Nutzer- als auch Kundendaten. [..] Ursache des Datenabflusses war den Angaben zufolge ein Sicherheitsvorfall bei dem KI-Analyseanbieter Anodot.
https://www.golem.de/news/cyberangriff-trifft-videoplattform-hacker-erbeuten-nutzerdaten-von-vimeo-2604-208149.html
LiteLLM CVE-2026-42208 SQL Injection Exploited within 36 Hours of Disclosure
In yet another instance of threat actors quickly jumping on the exploitation bandwagon, a newly disclosed critical security flaw in BerriAI's LiteLLM Python package has come under active exploitation in the wild within 36 hours of the bug becoming public knowledge. The vulnerability, tracked as CVE-2026-42208 (CVSS score: 9.3), is an SQL injection that could be exploited to modify the underlying LiteLLM proxy database. An unauthenticated attacker could send a specially crafted Authorization header to any LLM API route (for example, POST /chat/completions) and reach this query through the proxy's error-handling path.
https://thehackernews.com/2026/04/litellm-cve-2026-42208-sql-injection.html
30 ClawHub skills secretly turn AI agents into a crypto swarm
Thirty ClawHub skills published by a single author are silently co-opting AI agents and creating a mass cryptocurrency mining swarm - without any malware or user consent.
https://go.theregister.com/feed/www.theregister.com/2026/04/29/30_clawhub_skills_mine_crypto/
CISA flags data-theft bug in NSA-built OT networking tool
The Cybersecurity and Infrastructure Security Agency (CISA) is warning anyone who uses GrassMarlin, a tool developed by the National Security Agency (NSA), about a new vulnerability that attackers can use to snoop on sensitive information. [..] GrassMarlin went EOL in 2017, so there are no fixes in the works.
https://go.theregister.com/feed/www.theregister.com/2026/04/29/cisa_flags_datatheft_bug_in/
Mini Shai-Hulud Targets SAP npm Packages With a Bun-Based Secret Stealer
A new npm supply-chain compromise is targeting the SAP developer ecosystem. [..] The pattern is familiar but also a bit different: a trusted package receives a new preinstall hook, the hook runs a new setup.mjs file, and that loader downloads the Bun JavaScript runtime to execute a large obfuscated payload named execution.js. The payload is an 11.7 MB credential stealer and propagation framework.
https://www.aikido.dev/blog/mini-shai-hulud-has-appeared
Fake-Krypto-Casino: Wenn Promis einen Registrierungs-Bonus versprechen
Mithilfe übernommener Social-Media-Profile oder geschickt platzierter Werbeanzeigen locken Kriminelle ihre Opfer in angebliche Krypto-Casinos. Durch die Einzahlung von 200 Euro werde ein Registrierungsbonus von 2.500 Euro freigeschaltet. Vor einer Beanspruchung der Gewinne müssen allerdings erst diverse Gebühren und Steuern beglichen werden.
https://www.watchlist-internet.at/news/fake-krypto-casino/
RIPE NCC RPKI exploit chain
One click on a malicious, but not suspicious, link. That is all it could take for a network operator to get disconnected from the internet, through a chain of vulnerabilities I discovered. From that single click, I could fully control their routing authorisations in a RIPE NCC portal, telling the rest of the internet not to accept their routes. I could also hijack all their RIPE Database objects, locking the legitimate owners out until RIPE NCC staff manually restore them. This attack chain comes down to surprising entry points, risky architectural decisions, and components that don-t look security-critical until they are.
https://mxsasha.eu/posts/ripe-ncc-rpki-exploit-chain/
Vulnerabilities
IT-Sicherheitsplattform: Anreifer können Wazuh kompromittieren
Wie aus dem Sicherheitsbereich der GitHub-Website von Wazuh hervorgeht, ist eine Schwachstelle (CVE-2026-30893) mit dem Bedrohungsgrad -kritisch- eingestuft. Im Zuge einer Path-Traversal-Attacke können Angreifer unbefugt auf eigentlich geschützte Pfade zugreifen.
https://www.heise.de/news/IT-Sicherheitsplattform-Anreifer-koennen-Wazuh-kompromittieren-11276206.html
Schwachstelle in cPanel und WHM (28. April 2026)
Zum 28. April 2026 wurden gravierende Schwachstellen in der Software bekannt. Diese erlauben einen unautorisierte Anmeldung an der cPanel oder WHM Oberfläche.
https://borncity.com/blog/2026/04/29/schwachstelle-in-cpanel-und-whm/
Abermals kritische Sicherheitslücke in Nginx UI geschlossen
Eine Schwachstelle (CVE-2026-42238) gilt als -kritisch-. Weil bei jeder Neuinstallation und jedem Neustart die Backup-Restore-Points für zehn Minuten ohne Authentifizierung ansprechbar sind, können entfernte Angreifer manipulierte Backups hochladen. Dabei können sie die Konfigurationsdatei app.ini mit eigenen Befehlen überschreiben und die volle Kontrolle über Instanzen erlangen. Durch das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2026-42221 -hoch-) können Angreifer im Zuge der Ersteinrichtung Admin-Accounts kapern. Das soll ohne Authentifizierung möglich sein.
https://heise.de/-11276012
LWN: Security updates for Wednesday
https://lwn.net/Articles/1070428/