GoPix und Ghost: Neue Trojaner-Welle bedroht Finanzen und Entwickler

Eine alarmierende Serie hoch entwickelter Trojaner-Angriffe zwingt Sicherheitsbehörden weltweit zu Warnungen. Die Bedrohungen reichen von raffinierter Banken-Malware bis zu infizierten Code-Bibliotheken und markieren eine gefährliche Eskalation der Cyber-Gefahrenlage.

Diese jüngsten Entdeckungen, die Ende März 2026 ans Licht kamen, markieren eine kritische Phase für Unternehmen und Privatpersonen. Von Finanzinstituten in Brasilien bis zu Entwicklern mit kompromittierten Software-Quellen – die Bandbreite der Angriffe erfordert sofortige Aufmerksamkeit und robuste Abwehrstrategien.

Da Kriminelle immer häufiger täuschend echte Imitationen von Diensten wie WhatsApp oder Banken nutzen, ist ein gezielter Schutz für Mobilgeräte unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritt-für-Schritt-Anleitungen, wie Sie Ihr Android-Smartphone effektiv vor Datendiebstahl und Schadsoftware absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

GoPix: Banken-Trojaner mit Echtzeit-Opferanalyse

Der als GoPix bekannte Banking-Trojaner hat sich zu einer hoch entwickelten Bedrohung für brasilianische Banken und Krypto-Nutzer entwickelt. Seit 2023 beobachtet, wurde sein volles Gefahrenpotenzial erst Mitte März 2026 detailliert offengelegt. Bis dahin verzeichnete die Schadsoftware bereits etwa 90.000 Infektionsversuche – mit steigender Tendenz.

Die Verbreitung erfolgt hauptsächlich über präzise gesteuerte Schadwerbung auf Plattformen wie Google Ads. Die Angreifer imitieren dabei beliebte Dienste wie WhatsApp oder den nationalen Postdienst Correios, um Opfer auf gefälschte Landingpages zu locken. Der Clou: Diese Seiten nutzen legitime Anti-Betrugs-Tools, um Browserdaten in Echtzeit zu analysieren. So kann GoPix zwischen echten, lukrativen Zielen und Sicherheitsforschern in Testumgebungen unterscheiden. Nur vielversprechende Opfer erhalten den Schadcode, alle anderen werden auf harmlose Inhalte umgeleitet.

Einmal installiert, nutzt der Trojaner dynamische Proxy-Konfigurationen für präzise Man-in-the-Middle-Angriffe. Er überwacht sofortige Pix-Zahlungen, fängt Boleto-Zahlungsscheine ab und tauscht heimlich Krypto-Wallet-Adressen aus.

Entwickler im Visier: Trojaner in GitHub und npm

Eine groß angelegte Kampagne verteilt getarnte Schadsoftware über populäre Code-Repositories wie GitHub. Die Köder sind täuschend echt gestaltet und imitieren legitime Projekte. Der eigentliche Payload ist ein maßgeschneiderter Trojaner, der in zwei Teilen – einer legitimen Laufzeitumgebung und einem verschlüsselten Skript – klassische Sicherheitstools umgeht. Das Ziel: Die Installation von Information-Stealern.

Parallel dazu läuft die sogenannte „Ghost“-Kampagne auf der npm-Plattform. Seit Februar 2026 täuschen bösartige Pakete einen normalen Software-Installationsprozess vor. Falsche Fortschrittsbalken und Fehlermeldungen sollen Nutzer in die Irre führen. Im entscheidenden Moment werden die Anwender aufgefordert, ihr sudo-Passwort einzugeben, um angebliche Installationsprobleme zu beheben. Dieses Passwort nutzen die Angreifer dann, um einen Remote-Access-Trojaner (RAT) zu aktivieren, der sensible Daten und Krypto-Wallets stiehlt.

Phishing-Angriffe und gefälschte Installationsprozesse verursachen aktuell Rekord-Schäden in deutschen Betrieben. Unser kostenloser Report enthüllt die neuesten Methoden der Hacker und bietet eine konkrete 4-Schritte-Anleitung zur erfolgreichen Abwehr in Ihrem Unternehmen. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Supply-Chain-Angriffe treffen Entwickler-Tools

Die Vertrauenskette der Software-Entwicklung wurde durch gezielte Angriffe auf essentielle Open-Source-Tools erschüttert. Eine Gruppe mit dem Namen TeamPCP kompromittierte erfolgreich Trivy, ein weit verbreitetes Tool zur Schwachstellensuche, sowie LiteLLM, eine KI-Gateway-Bibliothek.

Die erste Infiltration erfolgte am 19. März über offizielle GitHub-Actions-Workflows und Docker-Images von Trivy. Jeder automatisierte Scan löste daraufhin Malware aus, die SSH-Schlüssel, Cloud-Zugangstokens und Krypto-Wallets von den betroffenen Systemen stahl. Am 24. März veröffentlichte die Gruppe dann bösartige Versionen der LiteLLM-Bibliothek im PyPI-Repository. Diese Pakete enthielten Credential-Stealer und erhielten die kritische Schwachstellenbewertung CVE-2026-33634 mit einem CVSS4B-Score von 9.4 (nahe dem Maximum von 10).

Immer raffinierter: GlassWorm und Steuer-Phishing

Die Bedrohungslandschaft wird weiter durch die Weiterentwicklung der GlassWorm-Malware verkompliziert. Die neueste Version kann nun einen Remote-Access-Trojaner abwerfen, zielt gezielt auf MCP-Server ab und verbreitet sich verstärkt über Open VSX. Die Malware protokolliert Tastatureingaben, stiehlt Cookies und Session-Tokens, macht Screenshots und empfängt Befehle von einem Command-and-Control-Server, der geschickt in einer Solana-Blockchain-Notiz versteckt ist.

Hinzu kommen Steuer-Phishing-Kampagnen, die seit Januar 2026 beobachtet werden. Sie nutzen manipulierte Installer des Remote-Management-Tools ConnectWise ScreenConnect als Köder, etwa gefälschte Steuerformulare (Form 1099). Die Angreifer missbrauchen die legitimen Funktionen des Tools, um es in einen ferngesteuerten Trojaner zu verwandeln und so unbefugt die Kontrolle über infizierte Geräte zu erlangen.

Was bedeutet das für die Sicherheitsstrategie?

Die jüngste Welle an Trojaner-Angriffe zeigt eine besorgniserregende Entwicklung: Die Angreifer werden nicht nur technisch raffinierter, sondern auch psychologisch geschickter. Die Integration von Echtzeit-Opferbewertung, mehrstufigen Umgehungstaktiken und täuschend echten Installationssimulationen stellt herkömmliche Abwehrmechanismen vor enorme Herausforderungen.

Die Kompromittierung von Vertrauenswerkzeugen wie Trivy unterstreicht eine kritische Schwachstelle im Software-Ökosystem. Die Sicherheitsbranche betont die dringende Notwendigkeit für verstärkte Wachsamkeit. Organisationen müssen ihre Sicherheitsprotokolle für die Software-Lieferkette überprüfen, Open-Source-Komponenten strenger prüfen und Entwicklungs-Pipelines kontinuierlich überwachen. Für Endanwender gilt: Skepsis ist der beste Schutz. Unerwartete E-Mails, Online-Werbung und Software-Downloads aus inoffiziellen Quellen sollten stets kritisch hinterfragt werden.

boerse | 68989869 |