Fehler 10.0 in SimpleHelp öffnet Tür für Stealer, der Tokens von Claude, Gemini und Codex stiehlt

CVE-2026-48558 ermöglicht die Fälschung einer Technikersitzung und das Umgehen der MFA; die finale Ladung, der Djinn Stealer, zielt auf MCP-Dateien mit Anmeldedaten der Code-Assistenten Claude, Gemini, Codex, Cline und Kilo ab.
Eine kritische Authentifizierungs-Bypassanfälligkeit in der Remote-Access-Software SimpleHelp wird seit letzter Woche aktiv ausgenutzt und diente als Einstiegspunkt für zwei neuartige Artefakte: einen in Node.js geschriebenen Loader mit dem Namen TaskWeaver und einen plattformübergreifenden Infostealer namens Djinn Stealer. Die Untersuchung wurde am Montag, den 30. Juni, von der Adversary Pursuit Group (APG), einer Reaktionseinheit von Blackpoint Cyber, veröffentlicht und von The Hacker News, Help Net Security und anderen Medien im Laufe des Tages repliziert.
Die Schwachstelle erhielt die Kennung CVE-2026-48558 mit einer CVSS von 10,0. Sie befindet sich im OpenID Connect (OIDC) Fluss von SimpleHelp: Der Server überprüft die digitale Signatur des Identitätstokens nicht und akzeptiert daher ein gefälschtes Token mit willkürlichen Claims. Ein nicht authentifizierter Angreifer kann eine vollständig gültige Sitzung als "Techniker" öffnen. Wenn der Techniker den zweiten Faktor noch nicht eingerichtet hat, kann er dies selbst erledigen, was den Schutz der MFA aufhebt, von dem viele Teams glaubten, ihn zu haben. SimpleHelp hat die Schwachstelle Ende Mai in den Versionen 5.5.16 und 6.0 RC2 behoben; alle vorherigen Versionen bleiben weiterhin anfällig.
Wie die Eindringlingskette aufgebaut wurde
Laut dem Bericht von Blackpoint nutzte der Angreifer die Schwachstelle in SimpleHelp am Rand des Netzwerks des Opfers, erlangte eine privilegierte Sitzung und verwendete die eigenen Dateiübertragungs- und Remote-Ausführungsressourcen des Produkts, um die Ladung massenhaft zu verteilen. Die gelieferte Datei präsentiert sich als jquery.js und wird auf einem ephemeral Endpoint in Cloudflare gehostet. Es ist kein jQuery. Es ist der TaskWeaver, ein modulares Loader in Node.js, der zunächst das System identifiziert, einen verschlüsselten Kanal mit dem Command-Server herstellt und danach zusätzliche Payloads in JavaScript anfordert, die mit erhöhten Rechten ausgeführt werden.
Das Laden scheint absichtlich so konzipiert zu sein, dass es statische Analysen von Unternehmens-EDRs umgeht, die zu viel Vertrauen in die Domain Cloudflare setzen und signierte Binärdateien als "Webbibliothek" ignorieren. Die zweite Phase ist der Djinn Stealer, der unter Windows, macOS und Linux läuft.
Das Ziel des Angreifers ist das Token des KI-Agenten
An diesem Punkt weicht der Vorfall von der Routine ab. Der Djinn Stealer durchforstet Konfigurationsdateien und Authentifizierungssitzungen für traditionelle Anbieter (AWS, Azure, Google Cloud, Oracle Cloud, Okta, Cloudflare) und auch für KI-gestützte Code-Assistenten: Claude, Gemini, Codex, Cline, OpenCode und Kilo. Das spezifische Ziel sind die Dateien, die die Konfiguration des Model Context Protocol (MCP) speichern, wie ~/.claude/mcp.json.
Diese Dateien enthalten die Tokens, die der Entwickler seinem Agenten zur Verfügung stellt, um auf Repositories, Datenbanken, Cloud-Konten und interne APIs zuzugreifen. Laut dem Bericht von Blackpoint "gewähren sie dem Angreifer denselben downstream Zugriff, den der Entwickler seinem KI-Agenten gewährt hat, und gehen weit über den KI-Dienst selbst hinaus". Übersetzt für den SOC-Betrieb: Das gleiche Schlüsselpaar, das den Agenten dazu bringt, einen Pull-Request zu öffnen, ermöglicht es auch dem Eindringling.
Vor der Exfiltration packt der Djinn alles in TAR, komprimiert es mit GZIP und verschlüsselt es mit AES-256-GCM, dessen Schlüssel durch ein eingebettetes RSA-2048 im TaskWeaver geschützt ist. Ohne Zugriff auf die Binärdatei kann der Abwehrmechanismus nicht entschlüsseln, was herausgegangen ist.
Die Uhr der CISA und die Auswirkungen auf globale Teams
Die CISA hat die CVE-2026-48558 in den Katalog der bekannt ausgenutzten Schwachstellen aufgenommen und hat die Behörden des zivilen Bundesdienstes (FCEB) verpflichtet, den Patch bis zum 2. Juli anzuwenden. Diese Frist fungiert als Signal für den privaten Markt: Versicherer und Risikoteams neigen dazu, die KEV als Auslöser für die Durchsetzung von Abhilfemaßnahmen in vertraglichen Verpflichtungen zu nutzen. Managed Service Provider (MSPs), die SimpleHelp zur Betreuung von Kunden in verschiedenen Regionen nutzen, konzentrieren ein besonderes Risiko. Ein einzelner exponierter Server des MSP in Dublin, Manila oder Bangalore könnte als Seiteneingang für Dutzende von Kundenkonten dienen, einschließlich der Brasilien-Operationen amerikanischer und europäischer multinationaler Unternehmen, die L2-Support auslagern.
Für Sicherheitsteams, die bereits KI-gestützte Code-Assistenten mit MCP in der Produktion eingesetzt haben, ist die Warnung doppelt. Erstens, Token des MCP als Infrastruktur-Anmeldeinformationen behandeln, mit häufiger Rotation und einem speziellen Tresor, und nicht als Konfigurationsdateien von Anwendungen. Zweitens, überprüfen, welche Berechtigungen dem Agenten gewährt wurden. Ein Claude, der mit MCP für GitHub, S3 und Postgres konfiguriert ist, hat in der Praxis drei hoch privilegierte Anmeldeinformationen, die im gleichen JSON gespeichert sind, ein zu verlockendes Versprechen für den Operator, der bereits bewiesen hat, wo er suchen muss. Das Fenster, in dem der Sicherheitsmarkt über "wie der Agent agiert" diskutierte, ist gerade enger geworden; jetzt dreht sich die Debatte darum, wie zu verhindern, dass er abgefangen wird, bevor er handelt.