Erstes Thema ist der Canvas-Breach von Instructure. ShinyHunters behauptet 3,65 Terabyte aus über 8.800 Institutionen gestohlen zu haben – Namen, E-Mail-Adressen, private Nachrichten. Einfallstor: Free-for-Teacher-Accounts. Passwörter und Finanzdaten sollen nicht betroffen sein. Was mich beschäftigt: Eine Einrichtung, die selbst nichts falsch gemacht hat, sitzt ohne eigene Handlungsmöglichkeit da und wartet auf Informationsbrösel vom Hersteller. Wir diskutieren, wie man trotzdem strukturiert kommuniziert – und warum Team-Vertrauen wichtiger ist als ein 90-Punkte-Notfallplan.

Dann bringt Max zwei Linux-Kernel-Schwachstellen in schneller Folge: CopyFail (CVE-2026-31431), entdeckt von Theori mit ihrem KI-Tool XINT – eine Privilege-Escalation-Lücke im Krypto-Subsystem, neun Jahre unentdeckt. Tückisch: nur die In-Memory-Version wird manipuliert, Integritätstools wie Tripwire merken nichts. Kurz danach folgte DirtyFrag, ein verwandter Bug derselben Klasse mit öffentlichem PoC, bevor Patches für alle Distributionen fertig waren.

Während der Aufnahme kuratiere ich noch eine heiße Supply-Chain-News: MiniShai-Hulud – mutmaßlich wieder TeamPCP – hat über 170 NPM-Pakete kompromittiert, darunter TanStack, Mistral AI, Guardrails AI und OpenSearch. Bei TanStack hatten die manipulierten Pakete trotzdem gültige Build-Provenance-Attestation. Und die Malware enthält einen Deadman-Switch: wird der Token widerrufen, kann eine destruktive Löschroutine ausgelöst werden.

Als Leseempfehlung bringe ich einen Report meines Arbeitgebers Trend Micro über Earth Shadow 53, eine vorläufig China-attribuierte Kampagne gegen Regierungs- und Verteidigungsziele in Südostasien und Polen. Initial Access: ungepatchte Exchange- und IIS-Server via ProxyLogon-Kette von 2021. Persistenz via ShadowPad, wenig Lärm, klassisches Prepositioning.

Zum Abschluss Max über den DENIC-DNSSEC-Ausfall vom 5. Mai: Ein einzelner fehlerhafter Config-Change ließ alle DE-Domains kurzzeitig unerreichbar werden – in unter einer halben Stunde zurückgerollt. Aber ein guter Anlass, mal zu prüfen, ob im eigenen BCM auch steht, was passiert, wenn der DNS-Provider ausfällt.

Canvas/Instructure-Breach

https://thehackernews.com/2026/05/instructure-reaches-ransom-agreement.html

Linux CopyFail (CVE-2026-31431)

https://xint.io/blog/copy-fail-linux-distributions

MiniShai-Hulud / TanStack Supply-Chainhttps://www.stepsecurity.io/blog/mini-shai-hulud-is-back-a-self-spreading-supply-chain-attack-hits-the-npm-ecosystem

SHADOW-EARTH-053 (Trend Micro Report)https://www.trendmicro.com/en_us/research/26/d/inside-shadow-earth-053.html

DENIC DNSSEC-Ausfallhttps://blog.denic.de/analyse-des-dns-ausfalls-vom-5-mai-2026/