Lieferketten-Angriff: 5.500 GitHub-Repos in 6 Stunden kompromittiert

Besonders betroffen sind Entwickler aus den Bereichen Kryptowährungen, dezentrale Finanzen (DeFi) und Künstliche Intelligenz. Allein im Mai 2026 wurden mehrere großangelegte Kampagnen entdeckt, die automatisierte Repository-Infektionen mit der Manipulation von KI-gestützten Codierungswerkzeugen kombinieren.

Die Angriffswelle mit Namen wie TrapDoor und Megalodon hat die Plattformen npm und GitHub zu drastischen Sicherheitsverschärfungen gezwungen. Die Strategie der Cyberkriminellen hat sich grundlegend gewandelt: Statt generischer Malware setzen sie auf hochspezifische Operationen zum Diebstahl von Zugangsdaten. Über populäre Paketregister wie npm, PyPI und Crates.io schleusen sie Schadcode ein, um Cloud-Zugänge, Krypto-Wallet-Daten und internen Quellcode zu stehlen.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen

Die TrapDoor-Kampagne: Wenn der KI-Assistent zum Spion wird

In der letzten Maiwoche entdeckten Sicherheitsexperten eine koordinierte Attacke namens TrapDoor. Sie zielt gezielt auf Entwickler der Blockchain-Ökosysteme Aptos, Sui und Solana sowie auf Nutzer moderner KI-Entwicklungsumgebungen. Insgesamt 34 schädliche Pakete in mehr als 380 Versionen wurden über npm, PyPI und das Rust-basierte Crates.io verbreitet.

Die Malware nutzt verschiedene Einstiegspunkte – darunter npm-postinstall-Hooks und Rust-Build-Skripte – um versteckte Schadfunktionen auszuführen. Einmal aktiv, spürt sie sensible Daten auf: SSH-Keys, AWS- und Azure-Cloud-Zugänge, GitHub-Tokens sowie Wallet-Daten von Diensten wie MetaMask, Coinbase und Binance. Die Geschwindigkeit der Angriffe ist bemerkenswert: Während einige schädliche Pakete bereits nach 58 Sekunden erkannt wurden, lag die durchschnittliche Erkennungszeit bei rund fünfeinhalb Minuten.

Was TrapDoor von früheren Angriffen unterscheidet, ist der Fokus auf KI-gestützte Codierungsumgebungen. Die Angreifer schleusen versteckte Anweisungen in Konfigurationsdateien wie .cursorrules und CLAUDE.md ein. Diese Dateien steuern KI-Assistenten wie Claude und Cursor. Durch manipulierte Prompts sollen die KI-Tools dazu gebracht werden, unsicheren Code zu generieren oder schädliche Pull-Requests in legitime KI-Projekte einzuschleusen. Die Kampagne wurde auf ein einzelnes GitHub-Konto zurückgeführt.

Megalodon: 5.500 Repositories in sechs Stunden infiziert

Parallel zu TrapDoor wurde Anfang Mai die Operation Megalodon identifiziert. Am 18. Mai infizierten Angreifer innerhalb von sechs Stunden mehr als 5.500 GitHub-Repositories mit schädlichen Commits. Sie nutzten gefälschte automatisierte Identitäten wie „build-bot" und „pipeline-bot", um knapp 5.700 schädliche Commits zu pushen. Diese injizierten bösartige GitHub-Actions-Workflows, die CI/CD-Secrets, Kubernetes-Konfigurationen und OIDC-Tokens stehlen sollten.

Die Angriffswelle erreichte auch die interne Infrastruktur großer Technologieanbieter. Am 25. Mai meldete die Hackergruppe TeamPCP, sie habe interne GitHub-Repositories kompromittiert. Über eine manipulierte VS-Code-Erweiterung auf einem Mitarbeiter-Gerät erlangten die Angreifer Zugriff auf rund 3.800 interne Repositories. GitHub bestätigte den unbefugten Zugriff, betonte aber, dass Kundendaten nicht betroffen seien. Das gestohlene Material – darunter Ruby-Quellcode für Abrechnungslogik und Umsatzsteuerprüfung – wurde in Untergrundforen für 50.000 bis 95.000 US-Dollar angeboten.

Auch das Laravel-Lang-Ökosystem, eine weit verbreitete Lokalisierungsbibliothek für das Laravel-Framework, wurde Ende Mai kompromittiert. Angreifer überschrieben historische Tags mit einem PHP-basierten Credential-Stealer, der Umgebungsvariablen und Cloud-Secrets abgreift.

Neue Sicherheitsarchitektur: Staged Publishing und schärfere Kontrollen

Als Reaktion auf die Angriffswelle kündigten GitHub und npm am 25. Mai bedeutende Sicherheitsupdates an. Kernstück ist die Einführung des Staged Publishing: Ein zusätzlicher menschlicher Prüfschritt, oft mit Zwei-Faktor-Authentifizierung, wird erforderlich, bevor ein Paket offiziell veröffentlicht werden kann. Dieser „gated"-Ansatz soll verhindern, dass automatisierte Account-Übernahmen sofort die Lieferkette vergiften können.

Die npm-CLI-Version 11.15.0 führt zudem granulare Installationskontrollen ein. Entwickler können mit Flags wie --allow-file und --allow-remote einschränken, wo ein Paket während der Installation Ressourcen abrufen darf. Diese Kontrollen sind eine direkte Reaktion auf Kampagnen wie Shai-Hulud und TeamPCP, die auf nicht autorisierte Remote-Ausführungen setzten. Außerdem hat npm klassische Tokens zugunsten kurzlebigerer FIDO-basierter Authentifizierung und OIDC-Trusted-Publishing abgekündigt.

Ergänzend zu den Plattform-Änderungen entstehen neue lokale Sicherheitswerkzeuge. Die CVE Lite CLI, ein von OWASP unterstütztes Projekt, wurde am 25. Mai veröffentlicht. Sie erlaubt Entwicklern, Abhängigkeits-Lockfiles lokal auf Schwachstellen zu scannen. Der Entwickler Sonu Kapoor betont, dass das Tool bewusst auf KI für die Kernanalyse verzichtet, um deterministische Ergebnisse zu garantieren – lediglich für die Erklärung von Lösungswegen wird eine KI-Schicht genutzt.

Analyse: Warum Krypto- und KI-Entwickler im Fokus stehen

Die gebündelten Angriffe auf Krypto- und KI-Entwickler deuten auf eine hochgradig kalkulierte Verschiebung der Bedrohungslandschaft hin. Krypto- und DeFi-Entwickler sind wegen ihres direkten Zugangs zu Finanzprotokollen und privaten Schlüsseln besonders attraktiv. Die Angriffe auf KI-Entwickler wiederum spiegeln die rasche Verbreitung KI-gestützter Entwicklungswerkzeuge wider, die neue Angriffsflächen durch Prompt-Injection und automatisierte Code-Generierung schaffen.

Die Megalodon- und TrapDoor-Angriffe zeigen, dass traditionelle Sicherheitsmaßnahmen – wie die Überwachung auf Typosquatting oder bekannte schädliche Domains – nicht mehr ausreichen. Angreifer nutzen legitime Entwicklungsabläufe wie CI/CD-Pipelines, Git-Hooks und Build-Skripte, um ihre Aktivitäten zu tarnen. Die mediane Erkennungszeit von unter sechs Minuten ist beeindruckend, doch die Tatsache, dass tausende Repositories in ähnlicher Zeit kompromittiert werden können, unterstreicht den anhaltenden Wettlauf zwischen automatisierten Angriffswerkzeugen und defensiver Überwachung.

Während die technologische Entwicklung voranschreitet, schafft die EU-KI-Verordnung (AI Act) neue rechtliche Leitplanken für den Einsatz solcher Systeme. Dieser kostenlose Umsetzungsleitfaden klärt auf, welche Risikoklassen und Dokumentationspflichten Unternehmen jetzt kennen müssen. Kostenlosen KI-Verordnung-Guide sichern

Die Kompromittierung der Laravel-Lang-Pakete ist besonders für Unternehmen besorgniserregend. Sie zeigt, dass selbst etablierte Open-Source-Projekte nachträglich vergiftet werden können. Durch das Überschreiben historischer Tags werden Systeme gefährdet, die nicht einmal auf die neuesten Versionen aktualisieren, sondern lediglich bestehende Umgebungen neu aufbauen.

Ausblick: Das Wettrüsten um die Lieferkettensicherheit

Für den Rest des Jahres 2026 erwarten Experten ein anhaltendes Wettrüsten zwischen Paketregistern und hochentwickelten Angreifern. Die Einführung des Staged Publishing durch npm dürfte von anderen großen Registern wie PyPI und Crates.io übernommen werden, um das Risiko schneller, automatisierter Malware-Verteilung zu mindern.

Der Fokus auf KI-Entwicklungsumgebungen wird sich voraussichtlich verstärken. Da Werkzeuge wie Cursor und GitHub Copilot zum zentralen Bestandteil der Entwicklererfahrung werden, wird die Integrität der Konfigurationsdateien, die diese Werkzeuge steuern (wie .cursorrules), ebenso kritisch wie der Quellcode selbst. Die Branche könnte bald dazu übergehen, nicht nur Code zu signieren, sondern auch die Metadaten und Anweisungen für KI-Assistenten.

Der Übergang zu restriktiveren Standardeinstellungen in Entwicklungswerkzeugen – wie die geplante Änderung in npm-CLI v12, Git-basierte Installationen standardmäßig zu blockieren – signalisiert das Ende der Ära des „Open-by-Default"-Abhängigkeitsmanagements. Für Entwickler verschiebt sich die Sicherheitslast vom reaktiven Patchen hin zur proaktiven Quellcode-Kontrolle und rigorosen Überprüfung jeder einzelnen Komponente im Software-Stack.

de | wissenschaft | 69418833 |