Software-Lieferketten unter Beschuss: Hacker-Angriffswelle erschüttert Entwickler-Welt

Zwischen dem 18. und 24. Mai 2025 haben mehrere koordinierte Angriffe auf zentrale Entwickler-Plattformen wie GitHub und Packagist stattgefunden. Die Angreifer kompromittierten weit verbreitete Bibliotheken wie Laravel Lang und Axios und stahlen Zugangsdaten von tausenden Unternehmen. Besonders betroffen: Cloud-Zugänge, Kryptowährungs-Wallets und CI/CD-Systeme.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Checkliste jetzt kostenlos herunterladen

Laravel Lang und Packagist: Massive Datenklau-Aktion

Zwischen dem 22. und 23. Mai 2025 wurde das Laravel Lang-Projekt Opfer einer groß angelegten Hijacking-Operation. Die Angreifer nutzten GitHub-Funktionen, um legitime Tags in wir Haupt-Repositories mit schädlichen Commits zu überschreiben. Sicherheitsforscher entdeckten, dass über 700 Versionen dieser Pakete kompromittiert wurden.

Der Schadcode versteckte sich in der Datei src/helpers.php und wurde automatisch über den Composer-Autoload-Mechanismus ausgeführt. Einmal aktiv, lud das Skript einen 5.900 Zeilen umfassenden PHP-Credential-Stealer von einem Kommando-und-Kontroll-Server herunter. Die Malware war plattformunabhängig und lief auf Windows, Linux und macOS.

Besonders brisant: Der Stealer zielte auf sensible Cloud-Zugänge ab – AWS, Google Cloud Platform und Azure. Auch Kubernetes-Secrets, CI/CD-Konfigurationen von GitLab, Jenkins und GitHub Actions sowie Kryptowährungs-Wallets und SSH-Keys wurden abgegriffen. In Windows-Umgebungen kam eine Komponente namens „DebugElevator" zum Einsatz, die Chromiums app-gebundene Verschlüsselung umging. Packagist deaktivierte die betroffenen Pakete umgehend.

Nur einen Tag später traf ein weiterer Angriff acht andere Packagist-Pakete. Hier wurde der Schadcode in die package.json-Datei eingeschleust – ein ungewöhnlicher Angriffsvektor für PHP-Pakete. Betroffen waren unter anderem Themes und UI-Bibliotheken wie devdojo/wave und katanaui/katana.

TeamPCP: Der „Mini Shai-Hulud"-Wurm

Die Gruppe TeamPCP sorgte zwischen dem 18. und 23. Mai für zusätzliche Unruhe. Die Angreifer erbeuteten 3.800 interne GitHub-Repositories, nachdem sie den Arbeitsplatz eines GitHub-Mitarbeiters kompromittiert hatten. Eintrittspunkt war eine manipulierte Version der Nx Console-Erweiterung für Visual Studio Code – ein Tool mit über 2,2 Millionen Installationen.

Der selbstreplizierende Wurm namens „Mini Shai-Hulud" nutzte langlebige CI/CD-Zugangsdaten, um sich in internen Netzwerken auszubreiten. TeamPCP hatte bereits Anfang Mai ähnliche Angriffe auf OpenAI und andere Tech-Giganten durchgeführt. Am 11. Mai wurden zwei OpenAI-Mitarbeiter-Geräte über einen TanStack-Angriff kompromittiert.

Die Gruppe erbeutete rund 92 GB Daten von der Europäischen Kommission. Weitere Opfer: Grafana Labs und Mistral AI. Die gestohlenen Daten werden offenbar zum Verkauf angeboten – Preise beginnen bei 50.000 Euro. GitHub kündigte als Reaktion eine aktualisierte Sicherheits-Roadmap an.

Axios-Hijacking und 10.000 Zero-Days

Am 24. Mai übernahmen nordkoreanische Hacker für drei Stunden die Kontrolle über das Entwicklerkonto der weit verbreiteten Axios-Bibliothek. In dieser Zeit pushten sie schädliche Updates an tausende Unternehmen. Mindestens 135 Geräte in zwölf Firmen wurden infiziert. Hauptziel: Kryptowährungs-Diebstahl. Branchenexperten vermuten, dass das volle Ausmaß erst in Monaten sichtbar wird.

Parallel dazu förderte Anthropics „Project Glasswing" mit dem Claude-Mythos-Modell über 10.000 Zero-Day-Schwachstellen in nur einem Monat zutage. In Zusammenarbeit mit Microsoft, Apple und Google wurde eine Bestätigungsrate von 90,8 Prozent erreicht. Die kritischste Entdeckung: CVE-2026-5194 in wolfSSL, eine Schwachstelle, die Zertifikatsfälschungen ermöglicht. Von fast 1.600 gemeldeten Schwachstellen wurden bisher nur 97 gepatcht.

Die Notfall-Patches häuften sich: Am 23. Mai veröffentlichten Drupal, Cisco und Microsoft Defender kritische Updates. Cisco schloss eine CVSS-10.0-Lücke (CVE-2026-20223) in seiner Secure Workload API, Microsoft warnte vor einer aktiv ausgenutzten Exchange-Zero-Day (CVE-2026-42897).

Strategischer Kontext: Das Vertrauen in Entwickler-Tools bröckelt

Die Angriffswelle zeigt einen klaren Trend: Die Werkzeuge und Bibliotheken, mit denen Software gebaut wird, sind zum Hauptziel geworden. Automatisierte Paket-Manager und Entwicklungsumgebungen fehlt oft eine strenge Sicherheitssandbox.

Bereits im Frühjahr entdeckten Forscher zwei Command-Injection-Lücken im Composer-Paketmanager (CVE-2026-40261 und CVE-2026-40176). Diese erlaubten Angreifern, Shell-Befehle durch manipulierte Paket-Metadaten auszuführen. Sogar stillgelegte Hardware wird zum Einfallstor: Microsoft dokumentierte eine Kampagne, bei der Angreifer alte F5 BIG-IP-Geräte nutzten, um SSH-Zugriff zu erlangen – über 17.000 verwundbare IP-Adressen weltweit.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Kostenloses Anti-Phishing-Paket anfordern

Selbst Verbraucher-Projekte bleiben nicht verschont. Am 24. Mai bestätigte sich ein Datenleck bei Trump Mobile mit rund 27.000 betroffenen Kunden. Der Vorfall – verursacht durch eine Schwachstelle auf einer Drittanbieter-Plattform – zeigt, dass Lieferketten-Risiken weit über Code-Repositories hinausgehen.

Ausblick: Die Sicherheits-Infrastruktur muss sich ändern

Das Ausmaß der Angriffe im Mai 2025 wird Unternehmen zwingen, ihre Abhängigkeiten von Drittanbietern neu zu bewerten. OpenAI hat macOS-Nutzer bereits aufgefordert, ihre Anwendungen bis zum 12. Juni zu aktualisieren.

Sicherheitsexperten fordern den Ersatz langlebiger CI/CD-Zugangsdaten durch kurzlebige Tokens und strengere Sicherheitsprotokolle für Entwickler-Erweiterungen. GitHubs angekündigte Sicherheits-Roadmap soll neue Einschränkungen für IDE-Erweiterungen bringen.

Entwickler, die Laravel oder Axios nutzen, sollten umgehend ihre Paketversionen prüfen und auf Anzeichen von Zugangsdaten-Diebstahl achten. Mit tausenden neu entdeckten Zero-Days und staatlich unterstützten Gruppen, die gezielt Code-Maintainer angreifen, wird die Sicherheitsphilosophie „Shift Left" – Sicherheit von Anfang an – zur Überlebensfrage für Unternehmen. Wer keine robuste Überwachung seiner Drittanbieter-Abhängigkeiten implementiert, könnte die nächste Welle automatisierter, selbstreplizierender Würmer nicht überstehen.

de | wissenschaft | 69410533 |