Angreifer nutzen CVE-2026-39987, um über Hugging Face eine Blockchain-basierte Hintertür zu verbreiten

Eine kritische Schwachstelle in der marimo Python Notebook-Plattform wird derzeit aktiv von Angreifern genutzt, um auf Entwicklersystemen eine durch Blockchain betriebene Hintertür zu installieren.

Die Schwachstelle, mit Eine kritische Schwachstelle in der marimo Python Notebook-Plattform wird derzeit aktiv von Angreifern genutzt, um auf Entwicklersystemen eine durch Blockchain betriebene Hintertür zu installieren.

Die Schwachstelle, mit CVE-2026-39987 verfolgt, ermöglicht die Ausführung von Code aus der Ferne ohne Authentifizierung und stellt somit einen gefährlichen Eintrittspunkt für Bedrohungsakteure dar, die sie nutzen, um eine neue Variante der NKAbuse-Malware über einen gefälschten Hugging Face Space zu installieren.

Das Advisory, identifiziert als GHSA-2679-6mx9-h9xc, wurde

Das Advisory, identifiziert als GHSA-2679-6mx9-h9xc, wurde am 8. April 2026 auf GitHub veröffentlicht.

Innerhalb von nur 9 Stunden und 41 Minuten wurde die erste aktive Ausnutzung verzeichnet. Vom 11. bis 14.

April 2026 starteten Angreifer von 11 einzigartigen IP-Adressen aus 10 Ländern 662 Exploit-Ereignisse gegen exponierte marimo-Instanzen. Was mit frühem Scannen begann, eskalierte schnell zu einer groß angelegten, multi-akteurischen Kampagne, die auf KI-Entwickler-Workstations abzielte.

Forscher von Sysdig TRT identifizierten und dokumentierten diese Angriffe, während sie stattfanden, und stellten vier unterschiedliche Post-Exploitation-Muster fest: das Ernten von Anmeldeinformationen (credential harvesting), Versuche mit Reverse Shells, DNS-basierte Datenexfiltration und die Bereitstellung einer bisher nicht dokumentierten NKAbuse-Variante.