Miasma-Wurm: Selbstverbreitender npm-Angriff legt Microsoft lahm

Sicherheitsforscher schlagen Alarm: Noch nie waren die Methoden der Angreifer so ausgeklügelt.

Selbstverbreitender Wurm legt Microsoft lahm

Am 5. Juni traf es Microsoft mit voller Wucht. Ein als Miasma identifizierter npm-Wurm deaktivierte 73 GitHub-Repositories des Konzerns. Betroffen waren Azure-Beispiele, Microsoft-Dokumentationen und sogar primäre Entwicklerkonten.

Angesichts der rasanten Zunahme professioneller Hackerangriffe auf IT-Infrastrukturen müssen Unternehmen ihre Sicherheitsstrategien dringend überdenken. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenloses E-Book: Cyber Security Bedrohungen abwenden

Der Angriff startete über manipulierte npm-Pakete. Diese stahlen Authentifizierungstoken von Entwicklern und verbreiteten sich dann eigenständig im gesamten Ökosystem. Besonders beunruhigend: Der Wurm kann über KI-Coding-Agenten wie Cursor, Claude Code und VS Code ausgelöst werden.

Erst Anfang Juni waren bereits Dutzende Pakete von Red Hat kompromittiert worden. Die Attacke mit dem Codenamen Phantom Gyp zeigt, dass Cloud- und Entwickler-Zugangsdaten zunehmend im Fokus stehen.

Fiese Masche: Erpresserbande gibt sich als IT-Support aus

Die Silent Ransom Group – auch bekannt als UNC3753 oder Luna Moth – hat eine besonders perfide Taktik entwickelt. Zwischen Januar und Mai 2025 wurden Dutzende US-Anwaltskanzleien angegriffen.

Die Masche: Zuerst erhalten Opfer gefälschte Rechnungs-E-Mails. Dann folgt ein angeblicher IT-Support-Anruf über Zoom oder Microsoft Teams. In einigen Fällen versuchten die Angreifer sogar, persönlich in Büros zu erscheinen – als vermeintliche Techniker, die Daten direkt über USB-Sticks stehlen wollten.

Haben die Täter erst einmal Zugriff, nutzen sie Fernwartungstools wie AnyDesk oder Zoho Assist. Der Datendiebstahl erfolgt oft innerhalb weniger Stunden. Die Bande, die seit 2022 aktiv ist und aus ehemaligen Ransomware-Gruppen hervorging, setzt auf reine Datenerpressung – ohne Dateiverschlüsselung. Die Lösegeldforderungen kommen häufig schon 30 Minuten nach Verlassen des Netzwerks. Die Frist: drei Tage.

Voice-Phishing: Neue Gruppe zielt auf Cloud-Umgebungen

Am 31. Mai identifizierten Forscher eine neue Erpressergruppe namens Pink. Deren Spezialität: Angriffe auf Microsoft-365-Umgebungen durch Voice-Phishing. Die Täter geben sich als IT-Mitarbeiter aus, um an Zugangsdaten zu gelangen.

Besonders perfide: Sie umgehen die Zwei-Faktor-Authentifizierung, indem sie Anmeldesitzungen stehlen. Einmal im System, verschicken sie Drohungen über kompromittierte interne E-Mail-Konten oder Teams-Nachrichten. Die Zahlungsfrist beträgt 72 Stunden.

Die Gruppe nutzt dateilose Techniken, die im Arbeitsspeicher verborgen bleiben – für herkömmliche Sicherheitssoftware kaum erkennbar.

Parallel dazu hat die US-Cybersicherheitsbehörde CISA eine Schwachstelle in SolarWinds Serv-U (CVE-2026-20245) in ihren Katalog bekannter Sicherheitslücken aufgenommen. Ein Patch fehlt bislang.

KI macht Phishing zur Massenwaffe

Die Zahlen sind erschreckend: 82,6 Prozent aller Phishing-E-Mails werden mittlerweile von Künstlicher Intelligenz generiert. Das ist ein vierzehnfacher Anstieg seit Ende 2025. KI-Tools eliminieren Rechtschreibfehler und erstellen hochgradig personalisierte Nachrichten im großen Stil.

Phishing ist inzwischen an 36 Prozent aller Datenpannen beteiligt. Auch große Plattformen bleiben nicht verschont: Ein Sicherheitsvorfall beim KI-Chatbot von Meta ermöglichte Angreifern, durch Prompt-Injection die Zugangsdaten prominenter Konten zurückzusetzen – darunter solche der US Space Force und des Obama White House.

Da herkömmliche Schutzmaßnahmen gegen KI-generierte Angriffe und psychologische Tricks oft versagen, benötigen Firmen neue Abwehrmethoden. Dieses kostenlose Paket zeigt Unternehmen in 4 Schritten, wie sie sich effektiv gegen Phishing-Angriffe und Cyberkriminalität schützen können. Anti-Phishing-Paket jetzt gratis herunterladen

Datenlecks in Milliardenhöhe

Im Gesundheits- und Finanzsektor geht es weiter: Am 1. Juni veröffentlichte die Gruppe ShinyHunters 234 Gigabyte Daten von DentaQuest. Betroffen: rund 2,6 Millionen Konten. Die Lösegeldverhandlungen waren gescheitert. Nur eine Woche zuvor hatten dieselben Täter Daten von über 102.000 Kunden des Großhändlers Baker Distributing geleakt.

Signal unter Beschuss – und ein gigantischer Passwort-Fund

US-Behörden warnen vor Hackern mit Verbindungen zum russischen Geheimdienst. Sie zielen auf Nutzer des Messengers Signal ab. Die Verschlüsselung selbst ist nicht geknackt – aber Tausende Konten wurden durch Phishing-Nachrichten kompromittiert, die als technischer Support getarnt waren.

Ein weiterer Schock: Sicherheitsforscher entdeckten eine offene Datenbank mit rund 149 Millionen Zugangsdaten, darunter 48 Millionen Gmail-Adressen. Die Daten stammen offenbar aus verschiedenen Infostealer-Malware-Protokollen – nicht von einem direkten Angriff auf Google.

Die traurige Bilanz: 62 Prozent aller Sicherheitsvorfälle haben eine menschliche Komponente. Missbrauch von Zugangsdaten macht fast 40 Prozent aller Incidents aus. Und viele Phishing-Seiten, die auf Microsoft-Nutzer abzielen, werden von Standard-Browserschutzmaßnahmen nicht erkannt.

de | wissenschaft | 69497522 |