Supply-Chain-Angriffe: Über 5.000 GitHub-Repositories in sechs Stunden kompromittiert

Die Hackergruppe TeamPCP hat innerhalb von nur sechs Stunden über 5.000 GitHub-Repositories infiltriert – und das ist erst der Anfang. Für deutsche Entwickler und Unternehmen bedeutet dies: Die Sicherheitsarchitektur moderner Softwareentwicklung steht auf dem Prüfstand.

Angesichts der massiven Zunahme automatisierter Hackerangriffe auf digitale Identitäten ist ein Umstieg auf sicherere Authentifizierungsmethoden wichtiger denn je. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten und so Phishing sowie Datenklau effektiv verhindern. Sicher, bequem und passwortlos – Jetzt Passkey-Guide kostenlos herunterladen

Die „Megalodon“-Kampagne und ihre verheerende Wirkung

Der Angriff begann mit einer kritischen Sicherheitslücke: Am 18. Mai 2026 wurde die VS-Code-Erweiterung „Nx Console“ kompromittiert. Dieses Einfallstor nutzten die Angreifer, um rund 3.800 interne Repositories zu exfiltrieren. Betroffen waren namhafte Organisationen wie OpenAI, die Europäische Kommission, Grafana und Mistral AI.

TeamPCP führt seit März 2026 eine systematische Kampagne durch. In 20 Angriffswellen verteilten die Hacker mehr als 500 manipulierte Pakete. Das Herzstück ihrer Operation ist ein selbstreplizierender Wurm namens „Mini Shai-Hulud“, der sich über langlebige Zugangsdaten in CI/CD-Umgebungen verbreitet.

Die Zahlen sind alarmierend: Laut Branchenanalysten sind rund 33 Prozent der kompromittierten Konten auf frühere Infostealer-Infektionen zurückzuführen. Schätzungsweise 24.000 Unternehmen haben derzeit kompromittierte GitHub-Zugangsdaten im Untergrundmarkt im Umlauf.

Microsoft und GitHub ziehen die Sicherheitsschrauben an

Die Plattformbetreiber reagieren mit drastischen Maßnahmen. Microsoft und GitHub führen für npm, den weit verbreiteten Paketmanager, das „Staged Publishing“ ein. Diese Funktion verlangt eine Zwei-Faktor-Authentifizierung (2FA) für jede Paketveröffentlichung durch einen menschlichen Entwickler. Ein manueller Freigabeprozess wird zur Pflicht, bevor Code öffentlich wird.

Zusätzlich kommen „Install-Source-Flags“ zum Einsatz. Sie geben Entwicklern präzise Kontrolle darüber, aus welchen Quellen Pakete bezogen werden dürfen – eine direkte Antwort auf die Taktiken von Gruppen wie TeamPCP.

Das Passwort-Problem: Nur jeder dritte Deutsche nutzt Passkeys

Während die Industrie auf passwortlose Technologien setzt, hinken viele Nutzer hinterher. Eine YouGov-Umfrage im Auftrag des eco-Verbands zeigt: 74 Prozent der Deutschen halten ihre Passwörter für sicher – doch nur 32 Prozent verwenden tatsächlich Passkeys, und lediglich 25 Prozent nutzen Zwei-Faktor-Authentifizierung.

Microsoft steuert gegen: Der Konzern ersetzt die anfällige SMS-basierte 2FA zunehmend durch biometrisch gestützte Passkeys. Über fünf Milliarden Passkeys sind bereits im Microsoft-Ökosystem aktiv. Sicherheitsfirmen wie Bitwarden erweitern ihre Werkzeuge, um die Integration von FIDO2-basierten Passkeys zu vereinfachen. Interessant: Während 56 Prozent der Nutzer an passwortlosen Technologien interessiert sind, glaubt die Hälfte der IT-Entscheider, dass ihre aktuellen Anwendungen dafür nicht gerüstet sind.

Mobile Bedrohungen: 442 Milliarden Euro Schaden erwartet

Die Angriffe auf die Software-Lieferkette sind Teil einer größeren Welle. Die globalen Schäden durch mobile Cyberkriminalität werden 2026 auf 442 Milliarden Euro geschätzt. Allein im ersten Quartal 2026 stiegen die Fälle von Banking-Trojanern um 196 Prozent auf 1,24 Millionen gemeldete Vorfälle.

KI-gestütztes Phishing treibt diese Entwicklung massiv an: 86 Prozent aller Phishing-Kampagnen sind mittlerweile automatisiert und generieren schätzungsweise 3,4 Milliarden Nachrichten pro Tag.

Besonders perfide: Eine Malware-Kampagne mit rund 250 Apps, getarnt als beliebte Social-Media- und Gaming-Plattformen wie TikTok, Minecraft und Instagram Threads, ist seit zehn Monaten aktiv. Die Apps fangen Einmalpasswörter (OTPs) ab und plündern Konten über Premium-SMS-Dienste.

Veraltete mobile Betriebssysteme sind wie eine offene Haustür für die rasant wachsende mobile Cyberkriminalität. In diesem kostenlosen PDF-Ratgeber erfahren Sie in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone durch richtige Updates und Sicherheitsmaßnahmen dauerhaft vor Malware und Datenverlust schützen. 5 Schutzmaßnahmen für Ihr Smartphone jetzt gratis entdecken

Der strategische Wandel: Technische Exploits überholen Passwortdiebstahl

Die aktuelle Angriffswelle markiert einen strategischen Wandel in der Cyberkriminalität. Technische Exploits sind mittlerweile für 31 Prozent aller erfolgreichen Einbrüche verantwortlich – und haben den traditionellen Passwortdiebstahl (13 Prozent) weit hinter sich gelassen.

Die Angreifer suchen gezielt nach „Upstream“-Schwachstellen: Ein einziger kompromittierter Entwickler-Account oder eine manipulierte VS-Code-Erweiterung öffnet Tausende von Zielen.

Die Hardware ist ebenfalls betroffen: Eine schwerwiegende Sicherheitslücke in Qualcomms BootROM (CVE-2026-25262) gilt als nicht patchbar. Apple hat mit iOS 26.5 immerhin 52 Schwachstellen geschlossen und mit Post-Quanten-Kryptografie (PQ3) seine Messaging-Protokolle gegen zukünftige Entschlüsselungsangriffe gewappnet.

Ausblick: Die digitale Identität als Rettungsanker?

Deutschland geht voran: Am 21. Mai 2026 wurde das Digitale-Identitäts-Gesetz verabschiedet. Es bereitet den Weg für die EU Digital Identity (EUDI) Wallet, die am 2. Januar 2027 starten soll. Diese staatlich abgesicherte digitale Brieftasche könnte eine sichere Alternative zu herkömmlichen Authentifizierungsmethoden bieten.

Für Entwickler und Unternehmen bedeutet die Zukunft: Abschied von Legacy-Protokollen. Die Einstellung von Microsofts Exchange Web Services (EWS) zugunsten der Microsoft Graph API zum 1. Oktober 2026 wird umfangreiche Updates für Tools wie Thunderbird erzwingen.

Die Botschaft ist klar: In einer world automatisierter Bedrohungen durch Gruppen wie TeamPCP wird die manuelle Sicherheitsprüfung zunehmend durch automatisierte, biometrisch verifizierte Identitätsverwaltung und striktere Lieferkettenkontrollen ersetzt. Das Ziel: Der Kompromittierung eines einzelnen Entwicklerkontos darf nicht länger das gesamte globale Software-Ökosystem gefährden.

de | wissenschaft | 69411215 |