Megalodon-Angriff: 5.500 GitHub-Repos infiziert – Lieferkette bedroht

Hacker setzen zunehmend auf psychologische Tricks und KI, um die als sicher geltende Zwei-Faktor-Authentifizierung (MFA) zu knacken.

Die vermeintliche Sicherheitslösung wird selbst zur Gefahr: Angreifer nutzen raffinierte Methoden wie „Prompt Bombing" und KI-gesteuerte Automatisierung, um Unternehmen zu infilrieren. Dabei zielen sie nicht auf technische Lücken, sondern auf den Menschen – und die Logistik moderner Authentifizierungssysteme.

4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. Erfahren Sie in diesem kostenlosen Report, wie Sie sich jetzt effektiv schützen. Sicherheits-Report jetzt kostenlos herunterladen

Wenn die Sicherheitsabfrage zur Qual wird

Im Zentrum dieser Entwicklung steht eine Methode namens MFA-Prompt-Bombing oder auch MFA-Ermüdung. Haben Angreifer erst einmal gültige Zugangsdaten erbeutet – etwa durch Phishing oder sogenanntes Credential Stuffing –, fluten sie das Smartphone des Opfers mit Push-Benachrichtigungen. Das Ziel: Den Nutzer so lange zu nerven, bis er aus Frust oder versehentlich die Anfrage bestätigt. Der Angreifer erhält Zugang, und das Sicherheitssystem schlägt keinen Alarm – schließlich ist die Anfrage aus technischer Sicht legitim.

Ein prominentes Beispiel: der Einbruch der Yanluowang-Ransomware-Gruppe bei Cisco im Jahr 2022, bei dem 2,8 Gigabyte Daten abflossen. „Die menschliche Komponente bleibt das schwächste Glied in der Sicherheitskette", betonen Experten. Selbst geschulte Mitarbeiter können dem Dauerbombardement in Stresssituationen oder spät in der Nacht erliegen.

Als Gegenmaßnahme empfehlen Sicherheitsprofis den Umstieg auf FIDO2-konforme Sicherheitsschlüssel und kontextabhängige Risikosignale. Diese Systeme prüfen, ob ein Login von einem ungewöhnlichen Ort oder einem neuen Gerät kommt – und blockieren die Anfrage gegebenenfalls, bevor sie den Nutzer erreicht.

KI-gestützte Malware und Lieferketten-Angriffe

Die Bedrohungslage wird durch den Einsatz Künstlicher Intelligenz weiter verschärft. Erst Ende Mai 2026 gab Google bekannt, einen KI-gestützten Cyberangriff abgewehrt zu haben, der speziell auf Zwei-Faktor-Dienste abzielte. Die Angreifer nutzten eine Schadsoftware namens PROMPTSPY, die Authentifizierungsabläufe abfing und manipulierte.

Parallel dazu erschüttert ein massiver Angriff auf die Software-Lieferkette die Open-Source-Welt. Am 18. Mai 2026 begann die als Megalodon bekannte Attacke, GitHub-Repositories zu infizieren. Als die Bedrohung zwei Tage später vollständig erkannt wurde, waren bereits mehr als 5.500 Projekte kompromittiert. Solche Angriffe zeigen, wie Angreifer Schadcode tief im Softwareentwicklungsprozess verstecken können – und damit potenziell Zugang zu tausenden Unternehmensnetzwerken erhalten.

Auch der Iran-nahe Akteur Nimbus Manticore (auch als UNC1549 bekannt) hat seine Aktivitäten verstärkt. Seit Februar 2026 läuft die als „Operation Epic Fury" bezeichnete Kampagne. Die Gruppe setzt neue Backdoors wie MiniFast und MiniJunk V2 ein, die Merkmale KI-gestützter Entwicklung aufweisen. Verbreitet werden die Schadprogramme über gefälschte Installer für Kommunikationsplattformen wie Zoom sowie durch manipulierte Suchergebnisse.

Kritische Infrastruktur im Visier

Besonders besorgniserregend sind Angriffe auf kritische Infrastruktur. Im März 2026 verschaffte sich die Gruppe Ababil of Minab Zugang zu den Steuerungsanzeigen des Schienennetzes der Los Angeles Metro. Die Angreifer erbeuteten rund 700 Gigabyte Daten, die später auf einem iranischen Server gefunden wurden. Zwar blieb es bei Datendiebstahl und unbefugtem Einblick, doch der Vorfall zeigt die Verwundbarkeit industrieller Steuerungssysteme.

Die Luftfahrt- und Softwareindustrie in den USA, Australien und Saudi-Arabien sind bevorzugte Ziele der Nimbus-Manticore-Gruppe. Über manipulierte Suchergebnisse lockt sie Techniker auf gefälschte SQL-Entwicklungsseiten. Dort werden die Besucher aufgefordert, Tools herunterzuladen – die sich als Hintertüren entpuppen.

Phishing als Dienstleistung für jedermann

Die Demokratisierung von Hacking-Werkzeugen über Phishing-as-a-Service (PhaaS)-Plattformen senkt die Einstiegshürde für weniger versierte Kriminelle drastisch. Das FBI warnte kürzlich vor der Plattform Kali365, die über Telegram vertrieben wird. Sie stiehlt OAuth-Tokens von Microsoft-365-Nutzern – eine Methode, die MFA komplett umgeht und Angreifern wochenlangen Zugriff ermöglicht.

Was steckt hinter modernen Login-Verfahren, die herkömmliche Passwörter und anfällige MFA-Methoden ablösen sollen? Dieser kostenlose Guide zeigt Ihnen, wie Sie die neue Technologie bei Amazon, WhatsApp und Co. für maximale Sicherheit nutzen. Kostenlosen Report zu Passkeys sichern

Forscher haben zudem chinesischsprachige PhaaS-Plattformen wie YY Lai Yu identifiziert, die seit August 2024 aktiv ist. Seit November 2025 konzentriert sie sich auf Ziele in Japan und bietet über 400 verschiedene Phishing-Vorlagen. Die Plattformen nutzen Live-Administrationspanels, um Einmalpasswörter in Echtzeit abzugreifen. Um traditionelle Sicherheitsfilter zu umgehen, setzen die Angreifer zunehmend auf RCS und iMessage statt auf SMS.

Der Erfolg dieser „Zero-Footprint"-Methode ist enorm: Laut Berichten von Prosegur Cybersecurity stiegen sogenannte Device-Code-Phishing-Angriffe zwischen 2024 und 2026 um das 37-Fache.

Ausblick: Das Ende der Passwort-Ära

Der anhaltende Erfolg von Gruppen wie Nimbus Manticore und die Verbreitung von Diensten wie Kali365 zeigen: Passwortzentrierte Sicherheit ist zunehmend überholt. Branchenexperten erwarten eine breite Einführung passwortloser Authentifizierung und von Zero-Trust-Architekturen, die nicht auf einem einzelnen Login-Ereignis beruhen. Stattdessen überprüfen diese Systeme die Identität eines Nutzers kontinuierlich anhand von Verhalten, Gerätezustand und Umgebungssignalen.

Für Unternehmen in kritischen Infrastrukturen, der Luftfahrt und der Softwareentwicklung wird die Integration KI-gestützter Bedrohungserkennung unverzichtbar. Sicherheitsverantwortliche sollten ihre aktuellen MFA-Implementierungen überprüfen und erwägen, veraltete Protokolle zu blockieren, die für die neueste Generation von Umgehungstechniken anfällig sind.

de | wissenschaft | 69423486 |