Mastra-AI-Angriff: 144 npm-Pakete in 88 Minuten gehackt
22.06.2026 - 01:23:27 | boerse-global.de
Staatliche Hacker und kriminelle Banden setzen zunehmend automatisierte Werkzeuge ein – mit alarmierenden Folgen für kritische Infrastrukturen weltweit.
Die internationale Cybersicherheitslage hat sich im ersten Halbjahr 2026 dramatisch verschärft. Berichte aus mehreren Kontinenten zeigen eine beispiellose Welle von Angriffen auf Lieferketten, Ransomware-Kampagnen mit immer effektiveren Abwehrkillern und gezielte Attacken auf staatliche Einrichtungen. Besonders betroffen: Europa, Asien und der Pazifikraum.
Staatliche Akteure im Visier kritischer Systeme
Anzeige: Der Mastra-AI-Angriff zeigt: Lieferketten-Kompromittierungen geschehen in Minuten. Dieser Report liefert die entscheidenden Schutzmaßnahmen – von der Absicherung Ihrer npm-Abhängigkeiten bis zum Frühwarnsystem gegen EDR-Killer. Jetzt kostenlosen Sicherheits-Report anfordern
Dr. Richard Horne, Chef der britischen National Cyber Security Centre (NCSC), hat die Bedrohungslage für nationale Infrastrukturen detailliert beschrieben. In den zwölf Monaten bis Mai 2026 registrierte die Behörde mehr als 200 Cybervorfälle in kritischen Systemen Großbritanniens. Rund 75 Prozent dieser Angriffe gehen auf staatlich gesteuerte Gruppen aus Russland, China und Iran zurück.
Horne warnte, dass KI-gestützte Werkzeuge diesen Akteuren bis 2028 ermöglichen könnten, Schwachstellen in veralteter Technologie in noch größerem Umfang auszunutzen. Die Entwicklung sei „beunruhigend“, so der NCSC-Chef.
Auch Interpol schlägt Alarm. In einem Bericht vom 17. Juni 2026 hebt die Organisation hervor, dass Cyberdelikte mittlerweile mindestens 30 Prozent aller gemeldeten Straftaten in mehr als der Hälfte der Länder Asiens und des Südpazifiks ausmachen. Allein 2024 wurden weltweit über 6,5 Milliarden Cyberbedrohungen erfasst – Infostealer wie RedLine und LummaC2 gelten dabei als Hauptwerkzeuge für Finanzdiebstähle.
Lieferketten-Attacken auf KI und Web-Tools
Mehrere schwerwiegende Lieferketten-Kompromittierungen haben Millionen von Nutzern potenziell gefährdet. Ein Angriff auf die Plattform OptinMonster betrifft rund 1,2 Millionen Websites. Noch beunruhigender: Ein blitzschneller Angriff auf das Mastra-AI-npm-Ökosystem infizierte am 17. Juni 2026 innerhalb von nur 88 Minuten 144 Pakete mit Hintertüren.
Microsoft führt diese Kampagne auf die nordkoreanische Gruppe Sapphire Sleet zurück. Die Angreifer verschafften sich Zugang über ein inaktives Maintainer-Konto und nutzten eine bösartige Abhängigkeit namens easy-day-js. Ziel war der Diebstahl von Cloud-Zugangsdaten für AWS, Azure und Google Cloud sowie von 166 verschiedenen Kryptowährungs-Wallet-Erweiterungen.
In einem separaten Vorfall mit dem Codenamen Miasma wurde ein Red-Hat-Mitarbeiterkonto kompromittiert. Die Angreifer vergifteten npm-Pakete mit Malware, die GitHub-Actions-Geheimnisse und Cloud-Tokens abgreifen sollte. Sicherheitsforscher entdeckten zudem eine Welle von Schadsoftware im PyPI-Repository – darunter Varianten mit den Namen Mini Shai-Hulud und Hades. Diese nutzten indirekte Prompt-Injection in JavaScript-Kommentaren, um KI-basierte Sicherheitsscanner zu umgehen.
Ransomware-Gruppen werden aggressiver
Erpresserbanden setzen zunehmend auf Methoden, die Sicherheitssoftware gezielt ausschalten. Die Gruppe The Gentlemen hat interne Playbooks veröffentlicht und nutzt eine Reihe von EDR-Killern wie GentleKiller und HexKiller. Diese Werkzeuge zielen auf über 400 Prozesse von rund 48 Sicherheitsanbietern ab – darunter Microsoft, CrowdStrike und SentinelOne.
Zu den jüngsten Aktivitäten der Gruppe gehört die Kompromittierung des rumänischen Energieversorgers Oltenia sowie der Einsatz des SystemBC-Botnets, das mehr als 1.570 Hosts kontrolliert.
Die Kampagne FortiBleed demonstrierte den Einsatz von Hochleistungsrechnern für groß angelegte Einbrüche. Die Angreifer mieteten einen GPU-Cluster für rund 14 Euro pro Stunde, um 75.000 kompromittierte Fortinet-Firewall-Konfigurationen zu knacken. Das Setup erlaubte eine Verarbeitung von bis zu 720 Milliarden Hashes pro Sekunde. Am Ende waren 143.000 Kerberos- und 33.000 NetNTLM-Hashes geknackt – genug für laterale Bewegungen in Unternehmensnetzwerken.
Neue Malware und Botnetze im Anmarsch
Anzeige: Ransomware-Gruppen wie The Gentlemen schalten gezielt Sicherheitssoftware aus – mit Tools wie GentleKiller und HexKiller. Erfahren Sie in diesem Leitfaden, wie Sie Ihre EDR-Systeme widerstandsfähig machen und laterale Bewegungen im Netzwerk verhindern. EDR-Schutz-Leitfaden jetzt sichern
Microsoft warnt vor CryptoBandits, einer Clipper-Malware-Kampagne, die seit Februar 2026 aktiv ist. Die Bedrohung verbreitet sich über infizierte USB-Sticks und überwacht die Windows-Zwischenablage alle 500 Millisekunden. Erkennt sie eine Kryptowährungsadresse, ersetzt sie diese durch eine Adresse der Angreifer. Die Malware zielt zudem auf BIP39-Seed-Phrasen ab und nutzt Tor für die Kommunikation mit dem Kommando-Server.
Regionale Bedrohungen eskalieren auch durch Botnetze wie AryStinger, das weltweit mehr als 4.000 veraltete D-Link-Router infiziert hat. Fast die Hälfte dieser Infektionen befindet sich in Südkorea. Das Botnet nutzt mehrere Schwachstellen aus – darunter CVE-2013-3307, CVE-2016-5681 und CVE-2025-11837 – um Datenverkehr zu überwachen und DNS-Einstellungen zu manipulieren.
Die nordkoreanische Gruppe APT37, auch bekannt als ScarCruft, setzt in einer Phishing-Kampagne die Malware NarwhalRAT ein. Die Angriffe tarnen sich als Microsoft-Sicherheitswarnungen. NarwhalRAT kann Tastatureingaben protokollieren, Screenshots erstellen und Audio aufzeichnen – primäres Ziel sind Organisationen in Südkorea.
