CanisterWorm: Neue Malware-Welle gefährdet Entwicklertools
16.06.2026 - 08:10:08 | boerse-global.de
Am heutigen Dienstag entdeckten Sicherheitsforscher den CanisterWorm – nur einen Tag, nachdem über 400 Arch-Linux-Pakete vergiftet wurden. Die Angreifer zielen gezielt auf Entwicklerumgebungen, Cloud-Tools und KI-Schnittstellen ab.
Von Miasma zu CanisterWorm: Die Evolution der Bedrohung
Die aktuelle Angriffswelle hat ihre Wurzeln im September 2025. Damals tauchte der Shai-Hulud-Wurm erstmals als npm-basierte Bedrohung auf. Seitdem hat sich die Kampagne rasant weiterentwickelt. Am 12. Mai 2026 veröffentlichten die Angreifer den vollständigen Quellcode der Malware unter dem Titel "Open Sourcing The Carnage" auf GitHub. Die Folge: Andere Akteure können nun eigene, verschlüsselte Instanzen des Wurms erstellen.
Anzeige: Die CanisterWorm-Welle zeigt: Supply-Chain-Angriffe auf Entwicklertools nehmen rasant zu. Wer seine CI/CD-Pipelines und API-Keys schützen will, findet im Report eine Checkliste und Tool-Übersicht. Jetzt kostenlosen Sicherheits-Report anfordern
Das Ausmaß der Angriffe ist beachtlich. Anfang Juni nutzten Angreifer ein kompromittiertes Ingenieurskonto, um 32 Pakete im Red-Hat-Cloud-Service-Namespace zu infizieren. Nur wenige Tage später führten manipulierte IDE-Konfigurationsdateien zur Infektion von 73 Microsoft-Repositories auf GitHub – darunter Tools für Azure, VS Code und KI-Entwicklungsoberflächen. Microsoft hat die betroffenen Repositories inzwischen deaktiviert.
KI-gestützte Tarnung: So tricksen die Angreifer die Scanner aus
Besonders raffiniert: Die Schadsoftware nutzt mikroskopische Strukturveränderungen, um traditionelle Sicherheitsscanner zu umgehen. Die Weiterentwicklung von Shai-Hulud setzt auf adversarial prompt injection. Dabei werden versteckte Anweisungen in Codepakete eingebaut, die KI-Sicherheitsscanner dazu bringen, schädliche Dateien als harmlos einzustufen.
Erst gestern enthüllten Sicherheitsanalysten eine weitere Methode: Agentjacking. Diese Technik nutzt indirekte Prompt-Injection über Sentry-Fehlerberichte, um unbefugte Befehle auszuführen. Die Angreifer schleusen schädliche Anweisungen in öffentliche Fehlerprotokolle ein. Wenn KI-Coding-Agenten diese Protokolle über einen MCP-Server abrufen, führen sie die Befehle unwissentlich aus. Tests zeigten eine Erfolgsquote von 85 Prozent bei tausenden verwundbaren Konfigurationen.
Von npm bis Arch Linux: Die Plattformen im Visier
Die Angriffe beschränken sich längst nicht mehr auf npm. Auch PyPI, RubyGems und das Arch User Repository (AUR) sind betroffen.
Der heute entdeckte CanisterWorm zielt auf Pakete von Namastex Labs ab. Er identifiziert Pakete, die ein Entwickler veröffentlichen darf, injiziert eine Schadsoftware und veröffentlicht sie automatisch neu.
Bereits am 3. Juni enthüllte JFrog Security Research den IronWorm. Diese Rust-basierte Malware zielt auf Umgebungsvariablen und Anmeldedaten für OpenAI- und Anthropic-API-Schlüssel ab. Es ist der erste npm-Schädling, der ein eBPF-Rootkit zur Persistenz nutzt.
Gestern dann der Schock für die Linux-Community: Über 400 AUR-Pakete waren vergiftet. Sie installieren einen Rust-basierten Infostealer, der SSH-Schlüssel, Docker-Anmeldedaten und Browser-Cookies über das Tor-Netzwerk an Kommando-Server übermittelt.
Anzeige: KI-gestützte Malware umgeht herkömmliche Scanner – adversarial prompt injection und Agentjacking sind die neuen Gefahren. Dieser Report zeigt, wie Sie Angriffe erkennen und Ihre Entwicklerumgebungen absichern. Sicherheits-Report jetzt sichern
Kill-Switch und Spionage: Das wahre Ziel der Angreifer
Die Miasma-Framework enthält eine besonders perfide Funktion: einen Kill-Switch, der das gesamte Home-Verzeichnis des Nutzers löscht, sobald der zugehörige GitHub-Token ungültig wird.
Das eigentliche Ziel dieser koordinierten Kampagnen ist jedoch nicht Sabotage, sondern Cyber-Spionage und Diebstahl geistigen Eigentums. Die Angreifer fokussieren sich auf Cloud-Anmeldedaten, Kubernetes-Konfigurationen und CI/CD-Pipelines. Für Unternehmen bedeutet das: Wer seine Software-Lieferkette nicht absichert, riskiert den Verlust sensibler Entwicklungsdaten und Zugänge zu kritischen Infrastrukturen.
