Cyberangriffe auf KI-Entwickler: Gemini erhält Risikobewertung 99

Sicherheitsforscher haben mehrere Kampagnen identifiziert, die sich speziell gegen Nutzer von KI-gestützten Codierungstools richten – darunter Google Gemini und Anthropic Claude. Die Angreifer setzen auf SEO-Manipulation, Lieferketten-Kompromittierung und getarnte Installationsprogramme, um an Zugangsdaten, Cloud-Tokens und geistiges Eigentum zu gelangen. Besonders brisant: Die rasante Verbreitung KI-integrierter Entwicklungsumgebungen hat eine lukrative Angriffsfläche geschaffen, die nun mit dateiloser Malware und automatisierten Würmern ausgebeutet wird.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Cyber-Security-Report jetzt herunterladen

Gefälschte Installer: SEO-Vergiftung lockt Entwickler in die Falle

Seit Anfang März 2025 ist eine finanziell motivierte Hackergruppe mit einer breit angelegten SEO-Vergiftungskampagne aktiv. Ziel sind Entwickler in den USA und Großbritannien. Wie die Sicherheitsfirma EclecticIQ Ende Mai berichtete, haben die Angreifer Dutzende betrügerischer Websites mit vertippten Domainnamen wie geminicli.co.com und claudecode.co.com erstellt. Diese Seiten tarnen sich als offizielle Download-Portale für die Kommandozeilen-Tools von Gemini und Claude.

Wer ahnungslos eine dieser Seiten besucht, wird aufgefordert, einen PowerShell-Befehl auszuführen – der Startschuss für eine dateilose Infektion. Die Malware läuft vollständig im Arbeitsspeicher, um traditionellen Virenscannern zu entgehen. Um den Betrug zu perfektionieren, installiert das Skript im Hintergrund das echte Gemini-CLI über den npm-Paketmanager, während es parallel Sicherheitsfunktionen wie die Antimalware Scan Interface (AMSI) und Event Tracing for Windows (ETW) deaktiviert.

Das Ziel der Kampagne: der Diebstahl sensibler Daten aller Art. Der Infostealer erbeutet Browser-Zugangsdaten, Sitzungscookies von Kommunikationsplattformen wie Slack, Microsoft Teams und Discord, sowie OpenVPN-Konfigurationen und Kryptowährungs-Wallets. Darüber hinaus versucht die Malware, Dateien aus Cloud-Speicherdiensten wie Google Drive, OneDrive und Proton Drive zu stehlen. Besonders perfide: Die Angreifer nutzten ein gestohlenes Extended-Validation-Zertifikat (EV) einer chinesischen Elektronikfirma, um ihre Schadkomponenten zu signieren – und damit die Sicherheitswarnungen des Betriebssystems zu umgehen.

Mini Shai-Hulud: Der Wurm in der KI-Codierung

Neben gefälschten Websites setzen die Angreifer zunehmend auf Lieferketten-Attacken, um direkt in den Entwicklungsprozess einzudringen. Der Schadwurm Mini Shai-Hulud hat sich erneut ausgebreitet. Mitte Mai 2025 entdeckten Forscher eine neue Welle dieses Wurms, der über 300 npm-Pakete infizierte – darunter stark frequentierte Bibliotheken wie @mistralai/mistralai und @opensearch-project/opensearch, die wöchentlich millionenfach heruntergeladen werden.

Der Wurm funktioniert so: Er kompromittiert Entwicklerkonten und injiziert schädliche Hooks in lokale Konfigurationsdateien. Konkret zielt er auf die Datei .claude/settings.json und die Task-Konfigurationen von Visual Studio Code ab. Sobald ein Entwickler eine KI-gestützte Codierungssitzung startet, aktiviert der Wurm einen Credential-Harvester, der über 80 Umgebungsvariablen und 130 spezifische Dateipfade durchforstet – darunter SSH-Schlüssel und AWS-Tokens.

Ein entscheidender Wendepunkt kam am 19. Mai 2025: Das npm-Konto „atool" wurde kompromittiert, sodass der Angreifer hunderte schädliche Updates pushen konnte. Diese Version des Wurms ist auf Persistenz ausgelegt – sie installiert Hintergrunddienste und verbreitet sich auf jedes Repository, das auf dem infizierten Rechner zugänglich ist. Die gestohlenen Daten werden an Kommando- und Kontrollserver gesendet, die als legitime OpenTelemetry-Endpunkte getarnt sind. Der Datenverkehr tarnt sich so als normale Anwendungsüberwachung.

TrapDoor: Versteckte Befehle in KI-Assistenten

Die Bedrohungslage hat eine neue Dimension erreicht: Die Manipulation der KI-Assistenten selbst. Die Malware-Kampagne TrapDoor, entdeckt um den 22. Mai 2025, wurde in Dutzenden Paketen auf npm, PyPI und Rusts Crates.io gefunden. Sie zielt gezielt auf Blockchain- und KI-Entwickler ab, indem sie versteckte Anweisungen in Dateien wie .cursorrules und CLAUDE.md injiziert. Diese Anweisungen nutzen Nullbreiten-Zeichen, um Befehle zu verstecken, die nur das KI-Modell interpretieren kann. Die Folge: Der Assistent könnte unsicheren Code generieren oder während der Entwicklerinteraktion Daten abfließen lassen.

Die Verwundbarkeit wird durch Sicherheitslücken in den zugrunde liegenden Frameworks noch verstärkt. Am 22. Mai 2025 wurde eine kritische Sicherheitslücke namens BadHost (CVE-2026-48710) im Starlette-Framework geschlossen. Starlette ist die Grundlage für FastAPI und verschiedene KI-Modell-Serving-Tools wie vLLM und LiteLLM. Da Starlette wöchentlich hunderte Millionen Mal heruntergeladen wird, setzte der Fehler – der eine Authentifizierungsumgehung und Remote-Code-Ausführung ermöglichte – eine Vielzahl von KI-Agenten einem erheblichen Risiko aus.

Am selben Tag traf ein separater Lieferketten-Angriff die Laravel-Lang-GitHub-Organisation. Angreifer überschrieben Versionstags für mehrere PHP-Pakete, um Hintertüren in über 5.500 Repositories zu platzieren. Die schädliche Binärdatei enthielt spezifische Referenzen auf „claude" – ein klares Zeichen für den anhaltenden Fokus auf Entwickler im KI-Ökosystem.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen auf die neuen Anforderungen vorbereitet? Dieser kostenlose Leitfaden zum EU AI Act zeigt Ihnen kompakt alle Fristen und Pflichten für den Einsatz von KI-Systemen. KI-Umsetzungsleitfaden kostenlos sichern

Risikoanalyse: Gemini mit Höchstwertung

Angesichts der zunehmenden Angriffswellen bewerten Analysten die inhärenten Datenrisiken von KI-Codierungsassistenten. Eine Studie des Forschungsunternehmens Floxy untersuchte 15 verschiedene KI-Tools hinsichtlich ihrer Datenverarbeitungs- und Trainingsrichtlinien. Google Gemini erhielt mit 99 die höchste Risikobewertung. Grund: Die Plattform speichert Benutzercode 540 Tage lang und nutzt Benutzerdaten standardmäßig für das Training.

Claude Code schnitt mit einem Risikoscore von 57 deutlich besser ab. Die Daten werden nur 30 Tage gespeichert, und die Standardeinstellung sieht einen Opt-out für das Datentraining vor. Allerdings wiesen die Forscher auf eine Halluzinationsrate von 10,3 Prozent hin – was zur Einführung von Sicherheitslücken führen kann, wenn der KI-generierte Code nicht gründlich geprüft wird. Trotz dieser Risiken bleibt ChatGPT mit einer Nutzungsrate von über 80 Prozent das am weitesten verbreitete Tool unter Entwicklern, während Gemini von knapp der Hälfte der Entwickler-Community genutzt wird.

Ausblick: Neue Sicherheitsstrategien gefragt

Die Kombination aus rasanter KI-Adoption und hochentwickelten Malware-Kampagnen deutet auf einen dauerhaften Wandel der Bedrohungslandschaft für Softwareentwickler hin. Sicherheitsexperten warnen: Herkömmliche Abwehrmaßnahmen wie das Fixieren von Paketversionen reichen nicht mehr aus – der Laravel-Lang-Angriff hat gezeigt, dass selbst Versionstags direkt manipuliert werden können.

Je autonomer KI-Agenten werden, desto attraktiver werden sie als Ziele für sogenannte „Hands-on-Keyboard"-Angriffe. Zukünftige Sicherheitsstrategien werden sich daher auf die Integrität der Entwicklungsumgebung selbst konzentrieren müssen. Gefragt sind strengere Überprüfungen von CLI-Tools und Überwachungssysteme, die anomales Verhalten von KI-Agenten erkennen können. Entwicklern bleibt nur ein Rat: Ständige Überprüfung – besonders bei der Integration von Drittanbieter-Paketen oder KI-generierten Vorschlägen in produktionsreife Codebasen.

de | wissenschaft | 69425877 |