SHub Reaper: Neuer Trojaner stiehlt aus 23 Krypto-Wallets

Gleich mehrere hochentwickelte Schadsoftware-Kampagnen wurden in den vergangenen Tagen entdeckt. Im Zentrum steht SHub Reaper – ein neuartiger Datendieb und Hintertür-Installateur, der selbst erfahrene Nutzer täuscht.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2026 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Checkliste jetzt kostenlos herunterladen

Sicherheitsforscher von SentinelOne entdeckten die Malware am 25. Mai 2026. SHub Reaper gibt sich als legitime Software von Apple, Google oder Microsoft aus und trickst Nutzer so aus, sensible Berechtigungen zu erteilen. Das Besondere: Die Angreifer nutzen das applescript://-Protokoll, um Systemabfragen zu simulieren, die wie native macOS-Dialoge aussehen.

Wie SHub Reaper arbeitet

Die Schadsoftware verfolgt einen zweigleisigen Ansatz. Sie stiehlt nicht nur Daten, sondern installiert gleichzeitig eine dauerhafte Hintertür. Der Angriff beginnt mit einer scheinbar harmlosen Aufforderung – etwa einem angeblichen Sicherheitsupdate von Apple oder einer Google-Softwareaktualisierung.

Gibt der Nutzer sein Passwort preis, beginnt die eigentliche Arbeit. SHub Reaper durchforstet die Schlüsselbund-Daten, Systempasswörter und vor allem Kryptowährungs-Bestände. Die Malware erkennt und extrahiert Daten aus 23 verschiedenen Krypto-Wallets, darunter MetaMask, Phantom, Exodus, Ledger Live und Trezor Suite.

Besonders perfide: Selbst wenn der Datendieb entdeckt wird, bleibt die Hintertür bestehen. Alle 60 Sekunden meldet sich die Malware bei einem Kommando-Server der Angreifer. So können die Täter jederzeit neue Schadsoftware nachladen oder bestehende Zugänge reaktivieren.

Entwickler im Visier: Die TrapDoor-Kampagne

Doch SHub Reaper ist nur die Spitze des Eisbergs. Am selben Tag deckte Socket Security die TrapDoor-Kampagne auf. Angreifer schleusten über 34 schädliche Pakete in die weit verbreiteten Entwickler-Plattformen npm, PyPI und Crates ein. Insgesamt 384 verschiedene Versionen bösartigen Codes wurden identifiziert.

Das Ziel: die Arbeitsumgebungen von KI- und DeFi-Entwicklern kompromittieren. Die Angreifer jagten nach SSH-Schlüsseln, Cloud-Zugangstoken, GitHub-Zugangsdaten und API-Keys. Besonders betroffen sind Entwickler, die mit großen Krypto-Plattformen wie Coinbase, Binance oder Solana arbeiten.

Eine neuartige Methode macht TrapDoor besonders gefährlich: Die Angreifer manipulieren KI-gestützte Programmierassistenten wie Claude und Cursor. Durch sogenannte Prompt-Injection-Techniken können sie den generierten Code beeinflussen oder Geheimnisse aus dem Arbeitsspeicher der KI extrahieren.

Megalodon: Automatisierter Angriff auf GitHub

Nur eine Woche zuvor, am 18. Mai 2026, traf es GitHub mit voller Wucht. Die Megalodon-Kampagne generierte innerhalb von nur sechs Stunden über 5.700 bösartige Code-Änderungen in mehr als 5.500 Projekten. Die mutmaßliche Gruppe TeamPCP nutzte temporäre Konten und gefälschte Identitäten, um CI/CD-Geheimnisse und Cloud-Zugangsdaten zu stehlen.

Die Botschaft ist klar: Ein einziger kompromittierter Entwickler kann Tausende von Anwendern gefährden. Die Angriffe auf die Entwickler-Infrastruktur sind kein Zufall mehr, sondern systematisch.

KI als zweischneidiges Schwert

Die Rolle Künstlicher Intelligenz in der Cybersicherheit beschäftigt auch die Regulierungsbehörden. Am heutigen Dienstag tagte die Europäische Zentralbank (EZB) mit großen Banken, um die Risiken fortschrittlicher KI-Modelle zu diskutieren.

Im Fokus stand das Claude Mythos Preview von Anthropic, auch bekannt als Project Glasswing. Das KI-Modell identifizierte über 10.000 potenzielle Sicherheitslücken in weit verbreiteter Software. Rund 1.726 davon wurden als echte Schwachstellen bestätigt, darunter über 1.000 mit hohem oder kritischem Risiko. Eine besonders schwerwiegende Entdeckung: eine Zertifikatsfälschung in wolfSSL (CVE-2026-5194), die inzwischen behoben wurde.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Dieser kostenlose Report klärt auf, wie Sie die Anforderungen der EU-KI-Verordnung rechtzeitig umsetzen. Kostenlosen KI-Umsetzungsleitfaden sichern

Die EZB zeigt sich besorgt: Nur rund 40 bis 50 Organisationen – darunter Amazon, Google und Microsoft – haben Zugang zu solchen Werkzeugen. Europäische Institutionen bleiben außen vor.

Google wehrt ersten KI-gesteuerten 2FA-Angriff ab

Positives gibt es von Google: Das Threat Intelligence Team meldete am 25. Mai die Abwehr des ersten bekannten KI-gesteuerten Angriffs auf Zwei-Faktor-Authentifizierungssysteme. Zwar nutzten die Angreifer Python-Skripte statt eines komplexen Sprachmodells, doch die Automatisierung ermöglichte eine effizientere Umgehung traditioneller Sicherheitsmaßnahmen.

Parallel entdeckte Google eine neue Android-Malware namens PROMPTSPY, die KI-gestützte Techniken einsetzt, um PIN-Eingaben zu überwachen und zu stehlen.

Lazarus-Gruppe setzt auf unsichtbare Schadsoftware

Hinter vielen dieser Angriffe vermuten Sicherheitsexperten staatlich unterstützte Gruppen. Die nordkoreanische Lazarus-Gruppe setzt laut Berichten von Fox-IT und NCC Group einen neuen Remote Access Trojan (RAT) namens RemotePE ein. Das Besondere: Die Schadsoftware existiert nur im Arbeitsspeicher, nie auf der Festplatte. Ein mehrstufiger Ladeprozess mit Komponenten wie DPAPILoader macht sie für herkömmliche Scanner nahezu unsichtbar.

Forscher fordern Paradigmenwechsel

Eine gemeinsame Studie von Google, der University of California San Diego und der University of Wisconsin-Madison plädiert für einen grundlegenden Kurswechsel. Statt nur die KI-Modelle selbst zu schützen, müsse die gesamte Systemebene abgesichert werden. Die Forscher schlagen ein "Agentic Detection and Response" (ADR)-Framework vor, das auf Laufzeit-Isolation, dem Prinzip der geringsten Privilegien und kontinuierlicher Workflow-Überwachung basiert.

Was bedeutet das für Nutzer und Unternehmen?

Die Ära der vermeintlichen Sicherheit durch Nischendasein ist vorbei. macOS und spezialisierte Entwicklungsumgebungen sind längst im Visier der Angreifer. Wer sich auf die vermeintliche Sicherheit des Apple-Ökosystems verlassen hat, muss umdenken.

Für die kommenden Monate erwarten Experten eine verstärkte Fokussierung auf die Sicherheit von CI/CD-Pipelines und den Einsatz von KI-Assistenten in der Softwareentwicklung. Unternehmen sollten ungewöhnliche applescript://-Aufrufe überwachen und die Nutzung von Drittanbieter-Paketen streng kontrollieren. Die Diskussion über den Zugang zu KI-gestützten Sicherheitswerkzeugen – und wer sie nutzen darf – wird sich in den kommenden Wochen weiter verschärfen.

de | wissenschaft | 69419444 |