GitHub und VS Code im Visier globaler Cyberangriffe

Deutsche Unternehmen müssen ihre Software-Lieferketten sofort absichern. Seit Ende Februar 2026 überschwemmen zwei hochgefährliche Hacker-Kampagnen die globale Entwickler-Community. Sie nutzen künstliche Intelligenz und unsichtbaren Code, um über populäre Plattformen wie GitHub und Visual Studio Code in Unternehmensnetzwerke einzudringen. Die Angriffe offenbaren fatale Schwachstellen in den automatisierten Entwicklungsprozessen (CI/CD) und stellen eine massive Governance-Herausforderung dar.

Die neuen KI-gesteuerten Angriffe zeigen, wie verwundbar moderne IT-Infrastrukturen ohne spezifisches Expertenwissen sind. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Ihr Unternehmen mit einfachen Maßnahmen proaktiv vor kostspieligen Cyberattacken schützen. IT-Sicherheits-Strategien ohne Budget-Explosion entdecken

Hackerbot-Claw: Der autonome KI-Angreifer

Am 11. März 2026 veröffentlichte die Sicherheitsfirma StepSecurity einen detaillierten Bericht über die Kampagne Hackerbot-Claw. Zwischen dem 21. und 28. Februar scannte und infizierte ein automatisierter, KI-gesteuerter Bot systematisch GitHub Actions-Workflows großer Open-Source-Projekte. Zu den Zielen gehörten Microsoft, DataDog, Aqua Security und Projekte der Cloud Native Computing Foundation.

Der Bot nutzte geschickt Konfigurationsschwächen aus, etwa durch die Manipulation von Branch-Namen. So erlangte er Remote-Code-Ausführung und stahl hochprivigelierte Zugangstokens. Besonders schwer traf es das Sicherheitsprojekt Trivy von Aqua Security. Der Angreifer löschte Release-Dateien, änderte Sichtbarkeitseinstellungen und veröffentlichte sogar eine bösartige VS Code-Erweiterung im Open-VSX-Register. Bei DataDog konnten Notfallmaßnahmen den Schaden binnen neun Stunden begrenzen.

Experten bewerten diesen Vorfall als gefährliche Eskalation: Erstmals habe ein autonomes KI-System erfolgreich und im großen Stil Schwachstellen in CI/CD-Pipelines gejagt und ausgenutzt.

GlassWorm: Die unsichtbare Bedrohung durch Unicode

Parallel wütet die noch heimtückischere Kampagne GlassWorm. Laut Berichten von Aikido Security und Socket vom 13./14. März wurden mindestens 151 GitHub-Repositories und 72 bösartige VS Code-Erweiterungen kompromittiert. Diese tarnten sich als nützliche Tools wie Code-Formatter oder KI-Coding-Assistenten.

Das Markenzeichen von GlassWorm ist der Einsatz unsichtbarer Unicode-Zeichen. Der Schadcode wird in Sonderzeichen versteckt, die in Editoren als Leerstellen erscheinen und manuelle Code-Reviews komplett umgehen. Erst zur Laufzeit wird die schädliche Nutzlast entschlüsselt, um Spyware zu installieren, Zugangsdaten zu stehlen oder CI/CD-Tokens abzugreifen.

Die Angreifer nutzten vermutlich große Sprachmodelle, um täuschend echte Commit-Nachrichten zu generieren. Der bösartige Code wurde in kleine Bugfixes oder Dokumentations-Updates eingeschleust, die perfekt zum Stil des Zielprojekts passten – eine Entdeckung per Augenprüfung war damit praktisch unmöglich.

Besonders perfide Phishing-Methoden und psychologische Angriffsmuster gefährden zunehmend die Sicherheit sensibler Unternehmensdaten. Mit dieser 4-Schritte-Anleitung rüsten Sie Ihre Organisation gegen moderne Hacker-Methoden und CEO-Fraud-Prävention auf. Kostenlosen Experten-Guide zur Hacker-Abwehr sichern

Compliance-Desaster: Ein Risiko für ESG und Governance

Diese Angriffswelle stellt Unternehmen vor massive Compliance-Probleme. Strenge Cybersicherheit ist ein Kernbestandteil der Governance-Säule in ESG-Berichten. Werden Lieferketten durch nicht geprüften Drittanbieter-Code kompromittiert, drohen regulatorische Strafen und Reputationsverluste.

Compliance-Experten betonen: Die blinde Nutzung von Open-Source-Repositories und IDE-Erweiterungen ohne automatisierte Audits ist ein schweres Governance-Versäumnis. Die Vorstände tragen eine Aufsichtspflicht für diese technologischen Risiken. Ein Sicherheitsversagen in der Entwicklungsumgebung kann proprietäre Daten, Kundendaten und kritische Infrastruktur offenlegen und so gegen internationale Datenschutzverordnungen verstoßen.

Die Zukunft: So müssen sich Unternehmen schützen

Die Software-Industrie muss sich schnell anpassen. Sicherheitsexperten fordern eine grundlegende Wende hin zu obligatorischen Sicherheitsscans in CI/CD-Pipelines. Diese müssen Algorithmen zur Erkennung versteckter Unicode-Zeichen und anomaler, KI-generierter Pull Requests integrieren.

Unternehmen werden strengere interne Richtlinien für die Installation von VS Code-Erweiterungen und die Konfiguration von GitHub Actions umsetzen müssen. Aktuelle Empfehlungen lauten:
* Deaktivierung anfälliger Workflow-Trigger
* Einschränkung von Token-Berechtigungen
* Kryptografische Verifizierung aller Drittanbieter-Abhängigkeiten

Da Angreifer zunehmend dezentrale Infrastrukturen nutzen, werden präventive Maßnahmen auf der Ebene der Developer-Workstations immer wichtiger. Die Entwicklungsumgebung muss künftig mit derselben Rigorosität geschützt werden wie die produktive Infrastruktur. Der Countdown für sichere Software-Lieferketten läuft.