Doppelter Cyberangriff trifft WhatsApp-Nutzer und Entwickler

Eine neue Malware-Welle zielt gleichzeitig auf Millionen Messenger-Nutzer und die globale Software-Lieferkette ab. Die Angriffe zeigen eine gefährliche Entwicklung: hochautomatisierte Bedrohungen, die das Vertrauen in digitale Plattformen und Open-Source-Code ausnutzen.

Gefälschte WhatsApp-App spioniert gezielt Hunderte aus

In Italien hat ein gezielter Spionageangriff etwa 200 Nutzer getroffen. Die Angreifer verteilten eine gefälschte Version der WhatsApp-iOS-App, um Opfer zur Installation außerhalb des offiziellen App Stores zu verleiten. Die Malware stammt laut Ermittlungen von Asigint, einer Tochter des italienischen Überwachungsunternehmens SIO Spa, das Behörden mit Überwachungswerkzeugen beliefert.

Der aktuelle Spionageangriff auf Messenger-Nutzer zeigt deutlich, wie verwundbar unsere tägliche Kommunikation ist. Dieser kostenlose PDF-Report enthüllt, warum Experten zum Wechsel raten und wie Sie eine sichere Alternative in nur 5 Minuten einrichten. Telegram Startpaket kostenlos herunterladen

Die gefälschte App konnte tiefen Zugriff auf sensible Gerätedaten erlangen – von privaten Nachrichten bis hin zu Mikrofon und Kamera. WhatsApp reagierte schnell: Betroffene Nutzer wurden ausgeloggt und mit Sicherheitshinweisen versorgt. Das Unternehmen betont, dass keine Schwachstelle in der offiziellen WhatsApp-Infrastruktur oder der Ende-zu-Ende-Verschlüsselung ausgenutzt wurde. Der Angriff basierte allein auf Social Engineering. WhatsApp hat nun rechtliche Schritte gegen die Verantwortlichen eingeleitet.

Axios-Angriff kompromittiert Millionen JavaScript-Anwendungen

Während Messenger-Nutzer ins Visier genommen wurden, traf es am 31. März die Entwicklergemeinschaft hart. Ein massiver Supply-Chain-Angriff auf das extrem verbreitete npm-Paket axios setzte Zehntausende Systeme weltweit einem Risiko aus. Die Bibliothek wird wöchentlich über 100 Millionen Mal heruntergeladen und ist eine Grundlage für Netzwerkanfragen in unzähligen JavaScript-Anwendungen.

Angreifer hatten das Konto eines Maintainers kompromittiert und zwei bösartige Versionen des Pakets veröffentlicht. Diese enthielten eine versteckte Abhängigkeit namens plain-crypto-js, die einen plattformübergreifenden Remote Access Trojan (RAT) einschleuste. Die Malware wurde sofort aktiv, sobald ein Entwickler oder eine CI/CD-Pipeline den Installationsbefehl ausführte. Sie richtete eine Hintertür ein und löschte sich dann selbst, um Spuren zu verwischen.

Die Pakete waren knapp drei Stunden online, bevor npm-Administratoren sie entfernen. Sicherheitsanalysten führen den Angriff auf die nordkoreanische Bedrohungsgruppe UNC1069 zurück. Der Vorfall unterstreicht ein beunruhigendes Trend: Die Kompromittierung einer einzigen, vertrauenswürdigen Bibliothek kann sich in wenigen Stunden durch das gesamte Software-Ökosystem fortpflanzen.

Phishing-Kampagne nutzt GitHub und gestohlene KI-Tool-Codes

Parallel dazu läuft eine groß angelegte Phishing-Kampagne über die "Discussions"-Bereiche Tausender GitHub-Repositories. Angreifer posten gefälschte Sicherheitswarnungen, die offizielle Vulnerability-Alerts imitieren, und drängen Maintainer dazu, angebliche Sicherheits-Patches für VS-Code-Erweiterungen herunterzuladen.

In einer verwandten Aktion warnen Microsoft-Forscher vor einer Kampagne, bei der bösartige Visual-Basic-Skripte (.vbs) über WhatsApp-Anhänge verteilt werden. Diese nutzen legitime Windows-Werkzeuge, um Informationsdiebe zu installieren – eine Technik, die viele Antivirenprogramme umgeht.

Die Bedrohungslage wird durch den geleakten Quellcode von Anthropics "Claude Code"-CLI-Tool weiter verschärft. Angreifer nutzen diese internen Informationen, um noch überzeugendere Social-Engineering-Köder zu erstellen. Mit gestohlenen Zugangsdaten bewegen sie sich lateral durch Unternehmensnetzwerke und erbeuten SSH-Keys, Cloud-Tokens und andere sensible Authentifizierungsdaten von Entwickler-Arbeitsplätzen.

KI und Automatisierung beschleunigen die Angriffszyklen

Die Ereignisse der ersten Aprilwoche 2026 markieren eine neue Phase der Cyberbedrohungen. Die Ära geduldiger, gezielter Supply-Chain-Angriffe wird zunehmend von automatisierten, sich selbst verbreitenden Würmern abgelöst. Ein Beispiel ist der CanisterWorm, der über 60 npm-Pakete infizierte, indem er gestohlene Tokens und automatisierte Workflows ausnutzte.

Diese Entwicklung wird durch den Einsatz fortschrittlicher KI-Modelle im Werkzeugkasten der Angreifer beschleunigt. KI ermöglicht die rasche Generierung von Schadcode und die automatische Identifizierung falsch konfigurierter GitHub Actions. Herkömmliche Sicherheitssoftware, die Abhängigkeiten nur mit Datenbanken bekannter Schwachstellen abgleicht, stößt hier an Grenzen. Die Malware im axios-Angriff war darauf ausgelegt, sich nach der Ausführung selbst zu zerstören und kaum forensische Spuren zu hinterlassen.

Angesichts hochautomatisierter Attacken und täglicher Datenlecks riskieren Nutzer ohne gezielte Vorsorge den Verlust sensibler Informationen. Dieser Gratis-Ratgeber zeigt Ihnen 5 sofort umsetzbare Schritte, um Ihr Smartphone effektiv gegen Hacker und Datenmissbrauch abzusichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

Neue Verteidigungsstrategien werden dringend notwendig

Unternehmen sind daher aufgefordert, proaktivere Risikominderungsstrategien zu verfolgen. Dazu gehören "strenge Kontoeinstellungen" in Messengern, um unerwünschte Anhänge zu blockieren, sowie Build-Time-Schutztools, die die Herkunft jeder Software-Abhängigkeit verifizieren. Da Angreifer zunehmend mit gültigen Zugangsdaten Perimeter umgehen, rückt die Identitätssicherung in den Fokus der Cyberabwehr.

Die Sicherheitscommunity erwartet, dass sich der trend zum "Shifting Left" im Angriffszyklus fortsetzt: Entwickler und ihre Werkzeuge werden immer früher angegriffen, um in Unternehmensumgebungen Fuß zu fassen. Die Zeitspanne für solche Angriffe hat sich von Jahren auf Tage verkürzt – die Geschwindigkeit von Erkennung und Reaktion muss entsprechend zulegen. Für einzelne Nutzer und Entwickler gilt: Mehrfach-Faktor-Authentifizierung aktivieren, verknüpfte Geräte regelmäßig prüfen und jede unerwartete Sicherheitswarnung mit äußerster Vorsicht behandeln.

boerse | 69062490 |