Xygeni Logo Weiß
Kostenlos ausprobieren
Demo buchen
Bedrohungen in Open Source – Wurmangriff

Neue Bedrohungen in Open Source: Würmer, KI-gesteuerte Malware und Vertrauensmissbrauch

Inhaltsverzeichnis

Must-Read-Beiträge

TL; DR

Die Bedrohungslandschaft in Open-Source-Lieferketten hat sich grundlegend verändert. Drei zusammenlaufende Trends definieren Risiko neu:

Selbstvermehrende Würmer sind da

  • Shai Hulud (Sept. 2025): Erster npm-Wurmangriff – Zugangsdaten über Postinstall gestohlen. hooksAnschließend veröffentlichte es sich selbstständig in rund 700 Paketversionen mithilfe kompromittierter Maintainer-Tokens erneut.
  • Glaswurm (Okt. 2025): VS Code-Erweiterungs-Malware, die unsichtbare, Unicode-kodierte Nutzdaten und einen nicht zu entfernenden, Blockchain-basierten C2-Server (Solana) nutzt. Über 35 Installationen, volle RAT-Funktionalität mit Zielen auf Krypto-Wallets.
  • Shai-Hulud 2.0 (Nov 2025): Registry-übergreifender Sprung von npm zu Maven Central mittels automatisierter Spiegelungstools, plus GitHub Discussions als C2-Server und destruktiver Wiper-Fallback.

KI ist jetzt der Bediener, nicht nur das Werkzeug.

Eine dokumentierte Cyber-Spionagekampagne wurde mithilfe von Claude als Orchestrierungsplattform autonom ausgeführt – Aufklärung, Ausnutzung von Angriffen, laterale Bewegung und Datenexfiltration mit minimaler menschlicher Aufsicht. Die Hürde für komplexe Angriffe ist von einem „Expertenteam“ auf „jemanden, der die richtigen Anweisungen versteht“ gesunken.

Infrastrukturmissbrauch in großem Umfang

Die IndonesianFoods-Kampagne überflutete npm mit rund 44,000 Spam-Paketen, die Blockchain-Belohnungssysteme (TEA-Protokoll) ausnutzten. Diese Spam-Pakete blieben fast zwei Jahre lang aktiv, bevor sie bereinigt wurden. Auch Red-Team-Szenarien missbrauchen Open-Source-Infrastruktur.

Fazit

Jeder kompromittierte Entwicklerrechner ist nun ein potenzieller Ausgangspunkt für die Verbreitung von Würmern. Der Diebstahl von Zugangsdaten ermöglicht die autonome Verbreitung. KI kann Angriffe in Echtzeit orchestrieren. Herkömmliche Erkennungs- und Bekämpfungsansätze versagen angesichts unveränderlicher C2-Verbindungen und der Verbreitung über verschiedene Registrys hinweg. Die Verteidigung muss von einer Kompromittierung ausgehen und sich auf die Geschwindigkeit der Eindämmung konzentrieren.

Neue Bedrohungen für Open-Source-Ökosysteme: Würmer, KI-generierte Malware und groß angelegter Vertrauensmissbrauch

Das Open-Source-Ökosystem steht vor einem Paradigmenwechsel bei den Bedrohungen der Lieferkette. Traditionelle Schadsoftware verbreitete sich nicht von selbst, KI spielte für Angreifer keine Rolle, und die Ausbreitung von Angriffen war begrenzt.

In den letzten Monaten haben wir das Zusammenwachsen dreier Bedrohungskategorien beobachtet, die zwar einzeln betrachtet besorgniserregend sind, aber insgesamt eine Bedrohung darstellen. grundlegende Verschiebung im Risikoumfeld für die Softwareentwicklung, wenn man es gemeinsam betrachtet:

  • Selbstvermehrende Würmer in verpackten ÖkosystemenSchadsoftwarepakete verbreiten sich autonom durch den Diebstahl von Zugangsdaten und die automatische Wiederveröffentlichung. Dadurch wird jeder kompromittierte Entwicklerrechner zu einem neuen Infektionsherd.
  • KI-gestützte Malware-Erstellung und -AusnutzungBedrohungsakteure nutzen große Sprachmodelle, um Schadsoftware zu schreiben, Schwachstellen aufzudecken und Angriffe in Maschinengeschwindigkeit zu orchestrieren.
  • groß angelegte VertrauensausnutzungEinige Akteure missbrauchen systematisch Belohnungen für Open-Source-Beiträge, Repository-Infrastruktur und Entwicklerwerkzeuge, wodurch es zu Massenveröffentlichungen von Tausenden von Spam-Paketen kommt, was die Registries beeinträchtigt.

Die Schlüsseltechniken für ausgeklügelte Angriffe auf Software-Lieferketten sind nicht länger theoretisch. Sie sind aktiv, dokumentiert und zunehmend auch für weniger versierte Angreifer zugänglich. Die Hürde für Lieferkettenangriffe ist gefallen – was einst erfahrene Angreiferteams erforderte, kann heute von KI-Agenten mit minimaler menschlicher Aufsicht ausgeführt werden.

Dieser Beitrag untersucht aktuelle Vorfälle, die direkt mit bösartigen Open-Source-Paketen oder dem Missbrauch von KI und Open-Source-Infrastruktur zusammenhängen, analysiert die neuen Techniken, die diese ermöglichten, und erforscht aufkommende Fähigkeiten, die die nächste Generation von Bedrohungen prägen könnten. Im letzten Abschnitt gehen wir darauf ein, was zur Risikominimierung getan werden kann.

Bedrohungen in Open Source – Wurmangriff

HINWEIS: Dieses KI-generierte Poster weist gravierende Mängel im Verständnis der Zusammenhänge auf. KI ist für bestimmte Anwendungsbereiche alles andere als perfekt.

Sha1-Hulud: Npms erster sich selbst replizierender Wurmangriff

Entdeckt am 14. September 2025 Shai Hulud Dies ist der erste dokumentierte, sich selbst verbreitende Wurmangriff im npm-Ökosystem. Der Name wurde von Angreifern gewählt, die offenbar Science-Fiction-Fans sind! Der Angriff begann mit kompromittierten Entwicklerzugangsdaten – wahrscheinlich erlangt durch Phishing-Kampagnen, die npm imitierten. login Aufforderungen oder Umgehungen der Zwei-Faktor-Authentifizierung. Einmal eingedrungen, führte der Wurm einen mehrstufigen Angriff durch, der den Diebstahl von Zugangsdaten in eine autonome Verbreitung umwandelte. Der Angriff war so schwerwiegend, dass er eine CISEine Warnung.

Technische Architektur:

Die Malware arbeitet über eine Webpack-gebündelte, stark minimierte JavaScript-Payload (bundle.js) das über einen Postinstall-Hook ausgeführt wird…

Erfassung von Anmeldeinformationen:

Nach der Ausführung implementiert die Nutzlast eine umfassende Geheimnisermittlung:

  • Dumps process.env und durchsucht das Dateisystem nach Geheimnissen mit hoher Entropie.
  • Führt TruffleHog für systematisches Scannen von Anmeldeinformationen aus.
  • Fragt Cloud-Metadaten-Endpunkte ab (169.254.169.254, metadata.google.internal)
  • Zielt auf npm-Tokens in .npmrc, GitHub PATs und CI/CD

Exfiltrationsinfrastruktur:

Der Wurmangriff nutzt mehrere Exfiltrationsstrategien:

  • Missbrauch von GitHub Actions: Arbeitsabläufe enthalten ${{ toJSON(secrets) }} die alle Repository-Geheimnisse serialisieren.

Autonome Ausbreitung:

Der Selbstreplikationsmechanismus des Wurms funktioniert über den folgenden Algorithmus (in Pseudocode):

function propagate(token, owner) {
    userPackages = npmApi.listPackages(owner, token);
    for (pkg in userPackages) {
        tgz = npmApi.fetchTarball(pkg, token);
        modified = injectBundleAndPostinstall(tgz);
        npmApi.publish(modified, token);
    }
}

Mit jedem gestohlenen npm-Token listet der Wurm alle Pakete auf, die dem kompromittierten Maintainer gehören, und injiziert sie. bundle.js mit einem Postinstall-Hook und erneuter Veröffentlichung. Dieses autonome Verhalten führte dazu, dass die Anzahl der infizierten Pakete innerhalb weniger Stunden von Dutzenden auf Hunderte anstieg.

Wirkungsmetriken:

  • Erste Erkennung: 14. September 2025, von Daniel Pereira „Patient Null“ scheint rxnt-authentication:0.0.3.
  • Angriffsradius: Es wurden etwa 700 schädliche Paketversionen veröffentlicht, die auf prominente Ziele mit Millionen wöchentlicher Downloads abzielen. Beschränkt auf npm-Pakete und GitHub-Repositories.
  • Infrastruktur: C2 bei 217.69.3.218, Exfiltration nach 140.82.52.31:80/wall
  • Beharrlichkeit: GitHub-Workflows auf Branches mit dem Namen shai-hulud
  • Beobachtbare Indikatoren: Repos wurden auf öffentlich umgestellt mit -migration Suffix

Shai-Hulud ist ein Wurm, der geheime Daten sammelt. Er versuchte nicht, Geld zu stehlen oder Infrastruktur zu zerstören. Die extrahierten Daten und offengelegten Repositories können für gezielte Angriffe genutzt werden, sodass sich die Folgeschäden durch gestohlene Zugangsdaten erst später bemerkbar machen können. Die eigentlichen Kosten liegen in der Behebung der Schäden, dem Austausch der Zugangsdaten und dem Risiko von Folgeangriffen.

Ein positiver Effekt war GitHub/NPM wird gezwungen, sofort Maßnahmen zu ergreifen : Abschaffung veralteter klassischer Token und anderer schwacher Veröffentlichungsnachweise sowie Hinwendung zum „OIDC-Garten Eden“ OpenSSF Vertrauenswürdige Veröffentlichung .

Aber lest weiter! Der Wurm tauchte erneut aus dem Sand von Arrakis auf.

Sha1-Hulud 2.0: Der Arrakis-Wurm schlägt zurück

Zwei Monate nach der ersten Shai-Hulud-Kampagne kehrten die Angreifer mit „The Second Coming“ zurück – einer deutlich aggressiveren Angriffswelle, die aus den Schwächen des ersten Angriffs gelernt hatte. Die Kampagne identifizierte sich selbst durch entsprechend gekennzeichnete Repositories. „Sha1-Hulud: Die zweite Ankunft.“

Lassen Sie uns die wichtigsten Unterschiede zur ersten Welle untersuchen. preinstall Der Hook ersetzte den ursprünglichen Postinstall-Ausführungsvektor. Laut Panther, @asyncapi/avro-schema-parser@3.0.25 war der „Patient Null“ dieser zweiten Welle und nutzte eine verletzliche Lage aus. pull_request_target Workflow-Trigger. (Falls Sie jemanden kennen, der das verwendet, lesen Sie bitte weiter.) Warum ist pull_request_target so gefährlich? ).

Registry-übergreifende Weitergabe:

Der Wurm verbreitete sich durch automatisiertes Spiegeln von npm in Maven Central. mvnpm Ein Tool, das npm-Pakete ohne Sicherheitsprüfung in Maven-Artefakte umwandelt, hat kompromittierte npm-Pakete wie beispielsweise automatisch erneut veröffentlicht. posthog-node@4.18.1 as org.mvnpm:posthog-node:4.18.1.

Dies war der erste bekannte Registry-übergreifende Wurm: eine npm-Kompromittierung, die das Java-Ökosystem ohne direkte Interaktion beeinträchtigte. Maven Central entfernte die Artefakte am 25. November 2025, aber der Zeitraum der Gefährdung beeinträchtigte weiterhin Java/JVM-Workloads. enterprise Systeme aufbauen.

Brötchenlaufzeit für Ausweichmanöver:

Angreifer setzten ein preinstall: node setup_bun.js Haken, der installiert wurde gut Laufzeitumgebung zur Umgehung der Node-spezifischen Überwachung. Bun ermöglichte eine schnellere Ausführung der über 480,000 Zeilen umfassenden, verschleierten Nutzlast (bun_environment.js) und umging die herkömmliche Node.js-Instrumentierung.

GitHub Actions als Befehlsinfrastruktur:

Der Wurm setzte versteckte, selbstgehostete GitHub Actions-Runner ein in $HOME/.dev-env/ unter Windows, macOS und Linux. Darüber hinaus entwickelte es... discussion.yaml Workflows, die auf Ereignisse in GitHub Discussions reagierten und die Nachrichtentexte der Diskussionen als Shell-Befehle ausführten – wodurch GitHub Discussions effektiv in einen unsichtbaren C2-Kanal verwandelt wurde.

Zerstörungsfähige Wischerfunktion:

Im Gegensatz zur ersten Welle, die sich auf das Sammeln von Anmeldeinformationen konzentrierte, führte Shai-Hulud 2.0 ein destruktiver Scheibenwischer Ausgelöst wurde dies, wenn keine gültigen Anmeldeinformationen für die Weitergabe verfügbar waren. Dieser „Totmannschalter“ stellte sicher, dass selbst bei einem Replikationsfehler Schaden entstand, und signalisierte damit einen Wechsel von rein spionageorientierten Operationen hin zu potenziell zerstörerischen Kampagnen.

Trotz des Einsatzes von Tarntechniken (Bun-Laufzeitumgebung, Verschleierung) war die Kampagne äußerst auffällig: Hunderte von Paketen wurden neu veröffentlicht, mehrere öffentliche Repositories erstellt, Zugangsdaten massenhaft hochgeladen und langlebige, selbstgehostete Runner installiert. Dieses aggressive Tempo steht im deutlichen Gegensatz zu traditionellen Lieferkettenangriffen, die auf Tarnung setzen. Es deutet auf das Vertrauen in einen schnellen Erfolg oder eine bewusste „Überwältigungstaktik“ hin, um den Schaden in kürzester Zeit zu maximieren.

GlassWorm: Unsichtbarer Code trifft auf Blockchain C2

Am 17. Oktober 2025 führte eine VS Code-Erweiterung namens GlassWorm zwei beispiellose Techniken in die Bedrohungslandschaft der Lieferkette ein: unsichtbarer Schadcode mittels Unicode-Stealth und eine auf Blockchain basierende Kommando- und Kontrollinfrastruktur.

Unicode-Stealth-Technik:

Die Hauptinnovation von GlassWorm liegt in der Ausnutzung von Unicode-Variantenselektoren – Sonderzeichen, die keine visuelle Ausgabe erzeugen, aber in JavaScript ausführbar bleiben. Dadurch entsteht Schadcode, der in Code-Editoren, GitHub-Diffs und der Syntaxhervorhebung von IDEs als leere Zeilen erscheint. Diese Technik untergräbt die menschliche Codeüberprüfung grundlegend, indem sie ausführbare Logik in visuell leeren Bereichen verbirgt.

Der Angriff zielte auf VS Code-Erweiterungen im OpenVSX Marketplace ab. Die Untersuchung der CodeJoy-Erweiterung (Version 1.8.3) ergab große, unsichtbare Abschnitte mit ausführbarem JavaScript-Code, der mit nicht druckbaren Unicode-Zeichen kodiert war. Für einen Entwickler, der die Datei prüft, erscheint der Inhalt normal mit leeren Zeilen. Für die JavaScript-Laufzeitumgebung stellt er jedoch eine vollständige Schadsoftware dar.

Blockchain-basierte C2-Architektur:

GlassWorm implementiert einen nicht entfernbaren Command-and-Control-Mechanismus mithilfe der Solana-Blockchain. Die Malware scannt nach Transaktionen von einer fest codierten Wallet-Adresse; die Transaktions-Memo-Felder enthalten JSON-Objekte mit Base64-kodierten URLs.

Diese Architektur schafft entscheidende Vorteile:

  • UnveränderlichkeitBlockchain-Transaktionen können nicht verändert oder gelöscht werden.
  • AnonymitätKrypto-Wallets sind pseudonym und schwer zurückzuverfolgen.
  • ZensurresistenzKein Hosting-Anbieter, unter Druck gesetzt werden könnte, keine Infrastruktur, die man beschlagnahmen könnte.
  • Legitimer VerkehrVerbindungen zu Solana-RPC-Knoten sind von gewöhnlicher Blockchain-Aktivität nicht zu unterscheiden.
  • Dynamische UpdatesNeue Payload-URLs können für weniger als 0.01 US-Dollar pro Transaktion übertragen werden.

Selbst wenn die Verteidiger den Server für die dekodierte Nutzlast blockieren (217.69.3.218Angreifer können einfach eine neue Transaktion veröffentlichen, die auf eine alternative URL verweist. Jedes infizierte System ruft dann automatisch die aktualisierte URL ab.

Backup C2: Google Kalender

Zur Redundanz nutzt GlassWorm ein Google Kalenderereignis als sekundären C2-Kanal. Der Ereignistitel enthält eine Base64-kodierte Payload-URL. 

https://calendar.app.google/M2ZCvM8ULL56PD1d6
Event title: aHR0cDovLzIxNy42OS4zLjIxOC9nZXRfem9tYmlfcGF5bG9hZC9xUUQlMkZKb2kzV0NXU2s4Z2dHSGlUdg==
Decodes to: http://217.69.3.218/get_zombi_payload/qQD%2FJoi3WCWSk8ggGHiTdg%3D%3D

Dies bietet einen legitimen Dienst, der Sicherheitskontrollen umgeht und einfach durch Bearbeiten des Kalenderereignisses aktualisiert werden kann.

Nutzlastlieferung:

Die C2-Server übermitteln verschlüsselte Nutzdaten mittels AES-256-CBC. Die Entschlüsselungsschlüssel werden pro Anfrage generiert und über spezielle HTTP-Header übertragen, wodurch sichergestellt wird, dass abgefangene Nutzdaten nicht ohne eine neue Anfrage entschlüsselt werden können.

ZOMBI: Vollständige RAT-Fähigkeiten

Die finale Nutzlast (ZOMBI) verwandelt infizierte Entwickler-Workstations in kriminelle Infrastruktur:

  • SOCKS-Proxy-ServerSetzt Proxy-Server ein, um den Datenverkehr der Angreifer über die Netzwerke der Opfer zu leiten und so internen Zugriff und Anonymisierung zu ermöglichen.
  • WebRTC P2P: Stellt Peer-to-Peer-Kontrollkanäle her, die Firewalls durch NAT-Traversal umgehen.
  • BitTorrent DHT: Nutzt verteilte Hashtabellen für eine dezentrale Befehlsverteilung, die nicht abgeschaltet werden kann.
  • Verstecktes VNC (HVNC): Ermöglicht den unsichtbaren Fernzugriff auf Desktops, die in virtuellen Desktops ausgeführt werden und weder auf dem Bildschirm noch im Task-Manager angezeigt werden.

Ausrichtung auf Kryptowährungs-Wallets:

ZOMBI sucht aktiv nach 49 verschiedenen Krypto-Wallet-Erweiterungen, darunter MetaMask, Phantom und Coinbase Wallet. In Kombination mit unbemerktem Fernzugriff ermöglicht dies den direkten Diebstahl von Geldern von Entwicklerrechnern.

Erfassung und Verbreitung von Anmeldeinformationen:

Ähnlich wie Shai-Hulud sammelt GlassWorm npm-Tokens, GitHub-Zugangsdaten und OpenVSX-Zugriffstokens. Diese Zugangsdaten ermöglichen die autonome Verbreitung auf weitere Pakete und Erweiterungen und erzeugen so ein wurmartiges Ausbreitungsverhalten.

Wirkungsmetriken:

  • Ersterkennung: October 17, 2025
  • Gesamtinstallationen: Über 35,800 auf dem OpenVSX- und VS Code-Marktplatz (möglicherweise durch Bots aufgebläht)
  • Kompromittierte Erweiterungen: 16 bestätigt (15 OpenVSX, 1 Microsoft Marketplace)
  • InfrastrukturPrimäres C2 bei 217.69.3.218, Exfiltration nach 140.82.52.31:80/wall
  • Blockchain Brieftasche: 28PKnu7RzizxBzFPoLp69HLXp9bJL3JFtT2s5QzHsEA2 (Sonnenschein)
  • Aktueller StatusAktiv, die Infrastruktur ist zum Zeitpunkt der Erstellung dieses Dokuments betriebsbereit.

KI-gesteuerte Cyberspionage

Wir alle lernen gerade, mit KI-Werkzeugen umzugehen. Angesichts der Techniken, die bei den jüngsten Angriffen zum Einsatz kamen, fragt man sich unwillkürlich: Nutzen Bedrohungsakteure KI zur Erstellung von Schadsoftware? Gewiss. Doch sie können Angriffe noch weiter ausweiten, indem sie KI zur Orchestrierung einsetzen. Was folgt, ist eine Cyber-Spionagekampagne – aber stellen Sie sich vor, dieselben Techniken würden auf automatisierte Angriffe gegen Open-Source-Software angewendet.

Im September 2025, Anthropic erkannt und gestört Es handelte sich um den ersten dokumentierten Cyberangriff, der weitgehend ohne menschliches Eingreifen durchgeführt wurde. Die Kampagne erreichte einen Autonomiegrad von 80–90 %. Verwendung von Claude Code als Orchestrierungs-EngineKI-Agenten übernehmen dabei Aufklärung, Ausnutzung von Sicherheitslücken, laterale Bewegung und Datenexfiltration. Dies markiert den Übergang von KI-gestützten Angriffen zu KI-gesteuerten Cyberoperationen.

Die Bedrohungsgruppe GTG-1002 (eine staatlich geförderte chinesische Gruppe) zielte auf etwa 30 Organisationen aus den Bereichen Technologie, Finanzen und Regierung ab. Sie entwickelte ein autonomes Framework, das Claude Code von einem Programmierassistenten in eine Cyber-Operations-Engine verwandelte.

KI als Orchestrierungssystem

Anstatt KI als Berater einzusetzen, nutzte GTG-1002 Claude als den HauptbetreiberDas Framework zerlegte mehrstufige Angriffe in isolierte Aufgaben, die jeweils für sich genommen harmlos erschienen. Mithilfe gezielter Aufforderungen und etablierter Personas brachten Angreifer Claude dazu, schädliche Aktionen auszuführen, ohne deren bösartigen Kontext zu verstehen.

Die KI führte die technischen Schritte aus, während die Orchestrierungs-Engine den Kampagnenstatus verfolgte, Phasenübergänge steuerte und die Ergebnisse über mehrere Tage hinweg zusammenfasste. Menschliches Eingreifen beschränkte sich auf die übergeordnete Überwachung: Initialisierung, Zielauswahl, Genehmigung von Eskalationen und Validierung der Datenexfiltration.

Standardwerkzeuge – Netzwerkscanner, Datenbank-Exploits – wurden über kundenspezifische Systeme orchestriert. MCP-Server.

Dieser Ansatz automatisiert Vorgänge in einer für Menschen unmöglichen Geschwindigkeit. Claude analysierte sogar gestohlene Daten, um wertvolle Informationen zu priorisieren und den Kontext über mehrere Sitzungen hinweg aufrechtzuerhalten, während menschliche Bediener später zurückkehrten, um den Fortschritt zu überprüfen.

Soziale Manipulation der KI: Umgehung von Sicherheitskontrollen

Der Erfolg der Kampagne beruhte darauf, Claude trotz seiner Sicherheitsschulung dazu zu bewegen, Cyberangriffe durchzuführen. Die Vorgehensweise: Rollenspiel-TäuschungDie Angreifer gaben sich als Cybersicherheitsanalysten aus, die legitime Untersuchungen durchführten. In Kombination mit der Aufgabenisolierung reichte dies aus, um die Sicherheitsvorkehrungen der KI zu umgehen.

Halluzinationen sind toll!

Claude halluzinierte häufig Ergebnisse – er berichtete von erfolgreichen Aktionen, die fehlschlugen, erfand Qualifikationen und fälschte Entdeckungen. Aktuell schränkt dies vollautomatische Operationen ein, doch mit der Verbesserung der Modelle werden diese Schwächen abnehmen. Bis dahin ist ein häufiger KI-Fehler ironischerweise unser bester Freund 🙃.

Erkennung und Reaktion:

Anthropic entdeckte die Kampagne anhand ungewöhnlicher Nutzungsmuster, die auf systematisches Eindringen hindeuteten. Sie sperrten die zugehörigen Konten, benachrichtigten die betroffenen Organisationen, koordinierten sich mit den Behörden und integrierten die Angriffsmuster in umfassendere Sicherheitsmaßnahmen.

Auswirkungen auf die Lieferkette:

Jede hier demonstrierte Technik lässt sich direkt auf Paketökosysteme übertragen. KI könnte selbstständig angreifbare Paketbetreuer identifizieren, Schadsoftware generieren und Registry-weite Angriffe in Echtzeit orchestrieren. Die Hürde ist von einem „Team aus erfahrenen Cyberkriminellen“ zu einem „Operator, der KI-gestützte Anweisungen versteht“ gesunken.

Sie benötigen ein praktisches Beispiel für den Einsatz von KI bei Cyberangriffen? Lesen Sie weiter. ShadowRay 2.0Angreifer wenden KI in einer globalen Kampagne gegen sich selbst , wobei Angreifer die Orchestrierungsfunktionen von Ray („das Kubernetes der KI“) nutzten, um ein globales Cryptojacking-Botnetz zu betreiben, das sich autonom über exponierte Ray-Cluster ausbreitete.

Ein weiteres Beispiel: S1ngularity Attacke , indem sie dasselbe ausnutzten pull_request_target Das bereits erwähnte Problem. Es erkennt lokal installierte KI-CLI-Tools (Claude, Gemini, Q mit Bypass-Flags) und nutzt sie zur Aufklärung. telemetry.js Nutzlasten, Zu den Vorgaben gehörten Dinge so was:

Bedrohungen in Open Source – Wurmangriff

Infrastrukturmissbrauch: Groß angelegte Paketspam-Kampagnen

Neben Malware-verbreitenden Paketen ist das Open-Source-Ökosystem auch dem Missbrauch seiner Infrastruktur durch Spam-Kampagnen ausgesetzt, die Registries mit Tausenden von Paketen überfluten. DevOps wird häufig für Cyberkriminalität missbraucht: Angreifer nutzen es routinemäßig. SCMs und Registrierungen für OSINT, die Verbreitung von Malware-Stufen, das Extrahieren von Geheimnissen und die Aufrechterhaltung von Kommando- und Kontrollstrukturen. Aber diese Plattformen können auch sein missbraucht für nicht böswillige ZweckeSolche Kampagnen sind zwar nicht im herkömmlichen Sinne bösartig, verbrauchen aber Registerressourcen, verfälschen die Suchergebnisse und untergraben das Vertrauen.

Zwei aussagekräftige Beispiele veranschaulichen diesen Trend: Indonesische Gerichte (Ausnutzung von Belohnungen für Mitwirkende) und die Elfenkampagne (Red-Team-Tests außer Kontrolle geraten).

IndonesianFoods: Nutzung des TEA-Protokolls

Das Hauptmotiv war Finanzbetrug durch Ausnutzung des TEA-Protokolls , ein Blockchain-basiertes System zur Vergütung von Open-Source-Entwicklern.

Angreifer veröffentlichten Tausende von miteinander verbundenen Paketen, die Folgendes enthielten: tea.yaml Dateien, die mit ihren Ethereum-Wallets verknüpft sind, bilden zirkuläre Abhängigkeitsnetzwerke, um die Beitragszahlen künstlich aufzublähen. Automatisierte Skripte veröffentlichten etwa 12 Pakete pro Minute mit zufällig generierten indonesischen Namen und Begriffen aus der Lebensmittelbranche. In der README-Datei eines Pakets wurde sogar mit Einnahmen aus dem TEA-Token geworben, was die finanzielle Motivation bestätigte.

Die Kampagne umfasste rund 44,000 Pakete – über 1 % von npm – und dauerte fast zwei Jahre. Zirkuläre Abhängigkeiten führten dazu, dass die Installation eines Pakets Hunderte von Spam-Paketen mit sich brachte. Die Suchergebnisse verschlechterten sich, das Vertrauen in die Paketmetriken sank, und Bandbreite und Speicherplatz der Registry wurden stark beansprucht.

Obwohl der Missbrauch des TEA-Protokolls bereits im April 2024 dokumentiert wurde, erfolgte die systematische Entfernung erst im November 2025, was gravierende Lücken in der Missbrauchserkennung des Registers aufdeckte. Dieser Vorfall untergrub das Vertrauen in Blockchain-basierte Finanzierungsmodelle und zeigte, wie leicht Belohnungssysteme manipuliert werden können.

Elfenkampagne: Automatisierte Infrastrukturtests

Das Elfenkampagne Im Dezember 2025 wurde der Missbrauch der Infrastruktur anstelle böswilliger Absicht betont. Die Paketbeschreibungen verwiesen auf „Capture the Flag Challenge“ und „Testing“ (einschließlich des französischen Textes: „Package généré automatiquement toutes les 2 minutes“), was auf einen Ursprung in der Sicherheitsforschung oder bei CTF-Übungen hindeutet.ciszB.

Die Pakete folgten einem einheitlichen Muster elf-stats-* Die Benennung erfolgte nach Jahreszeiten. Einige enthielten triviale Reverse-Shells (einfache Bash-Einzeiler), die so simpel waren, dass sie eher für Erkennungstests als für echte Ausnutzung gedacht schienen.

Das hohe Arbeitstempo – ein Paket alle zwei Minuten über mehrere Accounts – testete die Ratenbegrenzungs- und Missbrauchserkennungsfunktionen von npm. Die Kampagne demonstrierte, dass automatisierte Überflutungen stunden- oder tagelang andauern können, bevor eingegriffen wird, und dabei Speicherplatz, Bandbreite und Moderationsressourcen beanspruchen.

Am wichtigsten ist jedoch, dass es anderen Bedrohungsakteuren signalisierte, dass automatisierte Flooding-Angriffe durchführbar sind, was möglicherweise zukünftige Missbrauchskampagnen anregen könnte.

Neue Taktiken, Techniken und Verfahren (TTPs)

TTP Technik Auswirkungen Detection
Autonome Verbreitung durch Wiederverwendung von Anmeldeinformationen Nachdem die Schadsoftware npm-Tokens, GitHub-Zugangsdaten oder Registry-API-Schlüssel erbeutet hat, listet sie programmatisch alle Pakete auf, die dem kompromittierten Maintainer gehören, und injiziert bösartige Nutzdaten in neue Versionen. Ein einziges kompromittiertes Token kann innerhalb weniger Stunden Dutzende oder Hunderte von Paketen infizieren. Jedes neue Opfer wird zu einem Ausgangspunkt für die weitere Verbreitung. Achten Sie auf plötzliche Häufungen von Paketveröffentlichungen einzelner Entwickler, insbesondere wenn diese mit verdächtigen Postinstall-Meldungen einhergehen. hooks oder große binäre Additionen.
Mehrschichtige C2-Infrastruktur mit Blockchain-Unveränderlichkeit Der primäre C2-Server nutzt Blockchain-Transaktionen (Solana, Ethereum), deren Memo-Felder verschlüsselte oder kodierte Payload-URLs enthalten. Der sekundäre C2-Server verwendet legitime Dienste (Google Kalender, Pastebin, GitHub Gists) als Backup-Kanäle. Herkömmliche Vorgehensweisen zur Bekämpfung solcher Systeme scheitern – Blockchain-Transaktionen lassen sich nicht entfernen, und legitimer Missbrauch von Diensten ist schwer von normaler Nutzung zu unterscheiden. Überwachen Sie ungewöhnliche Blockchain-RPC-Anfragen von Entwicklerrechnern, insbesondere an bestimmte Wallet-Adressen. Verfolgen Sie Verbindungen zu Kalenderdiensten oder Paste-Websites aus Entwicklungsumgebungen.
Unsichtbare Codeeinschleusung über Unicode-Stealth Bösartiger JavaScript-Code wird unter Verwendung von Unicode-Variationsselektoren (U+FE00 bis U+FE0F) und Nullbreitenzeichen kodiert, die in Editoren nicht gerendert werden, aber dennoch gültiger ausführbarer Code bleiben. Die Codeüberprüfung wird wirkungslos. Entwickler, die Quelldateien untersuchen, sehen leere Zeilen, während JavaScript-Interpreter versteckte Schadsoftware ausführen. Scannen Sie Quelldateien auf nicht druckbare Unicode-Zeichen, insbesondere auf Variantenselektoren und Zero-Width-Joiner. Implementieren Sie automatisierte Prüfungen, die den tatsächlichen Byte-Inhalt der Quelldateien dekodieren und analysieren, nicht deren gerenderte Darstellung.
GitHub-Aktionen als Exfiltrationsinfrastruktur Bereitstellen von Workflows mit ${{ toJSON(secrets) }} Ausdrücke, die alle Repository-Geheimnisse serialisieren und per POST an vom Angreifer kontrollierte Endpunkte senden. Der Workflow läuft auf der GitHub-Infrastruktur und erscheint daher als legitimer Dienst. CI/CD Aktivität. Vollständiger Diebstahl von Repository-Geheimnissen, ohne dass herkömmliche Exfiltrationserkennungsmechanismen ausgelöst werden, da der Datenverkehr aus den vertrauenswürdigen IP-Bereichen von GitHub stammt. Scannen Sie Workflow-Dateien für toJSON(secrets) Überwachen Sie Workflows, die externe HTTP-Anfragen mit großen POST-Bodys durchführen. Benachrichtigen Sie bei Workflow-Hinzufügungen zu Repositories ohne entsprechende Pull Requests. commit Info.
Hybrid-RAT-Bereitstellung in Entwicklungsumgebungen Setzen Sie vollständige RAT-Funktionen (SOCKS-Proxy, VNC, WebRTC P2P) ein, die speziell für den Betrieb auf Entwickler-Workstations entwickelt wurden. Zielen Sie auf Entwicklerzugangsdaten, Quellcodezugriff und interne Netzwerkpositionierung anstatt auf herkömmliche Benutzerdaten. Kompromittierte Entwickler gewähren direkten Zugriff auf Quellcode-Repositories. CI/CD pipelines, Cloud-Infrastruktur und interne Unternehmensnetzwerke. Überwachen Sie unerwartete Proxy-Server-Bereitstellungen, VNC-Serverprozesse, WebRTC-Verbindungen von Entwicklungsrechnern und die Teilnahme am BitTorrent-DHT-Netzwerk. Implementieren Sie eine strikte Netzwerksegmentierung und ausgehende Filterung.
Infektionskette der Abhängigkeit Schadpakete deklarieren andere, vom Angreifer kontrollierte Pakete als Abhängigkeiten. Die Installation eines Pakets löst die automatische Installation der gesamten Paketkette aus. Eine einzige schädliche Abhängigkeit kann Dutzende von vom Angreifer kontrollierten Paketen einschleusen. Die Bereinigung erfordert die Identifizierung und Entfernung der gesamten Infektionskette. Analysieren Sie Abhängigkeitsgraphen auf ungewöhnliche Muster – zirkuläre Abhängigkeiten, zufällig benannte Geschwisterpakete oder plötzlich hinzugekommene Abhängigkeiten. Implementieren Sie Installationen ausschließlich mit Sperrdateien, um die automatische Auflösung von Abhängigkeiten zu verhindern.

Defensive Haltung

Das Zeitalter sich selbst verbreitender Schadsoftware in Lieferketten hat begonnen. Verteidigung erfordert Automatisierung, Wachsamkeit und architektonische Kontrollmechanismen, die von einem Angriff ausgehen, anstatt auf Entdeckung zu hoffen. Jede Paketinstallation ist ein potenzieller Infektionsherd. Jede Zugangsberechtigung ist ein Verbreitungsmechanismus. Die Frage ist nicht mehr, ob Angriffe erfolgen, sondern wie schnell sie erkannt und eingedämmt werden können.

Die Abwehr wurmartiger Schadsoftwarepakete erfordert einen Wechsel von reaktivem Scannen zu proaktiver Prävention und kontinuierlicher Überwachung:

Pipeline Regler:

  • Erzwingen Sie ausschließlich Lockfile-Installationen (npm ci, yarn install --frozen-lockfile) um automatische Abhängigkeitsaktualisierungen zu verhindern und eine strikte Versionsfixierung sicherzustellen.
  • Implementieren Sie eine Vorinstallationsprüfung der Pakete und vollständigen Abhängigkeitsbäume, um schädliche Pakete vor der Ausführung zu blockieren.
  • Pakete mit verdächtigen Merkmalen blockieren: übergroße Pakete, Verschleierung, unerwartete Vor-/Nachinstallationsvorgänge hooks.
  • Für das Hinzufügen und Aktualisieren von Abhängigkeiten ist eine Codeüberprüfung erforderlich.

Anmeldeinformationsverwaltung:

  • Minimieren Sie den Token-Umfang – Veröffentlichungstoken sollten nach Möglichkeit nur auf bestimmte Pakete abzielen.
  • Implementieren Sie kurzlebige Token mit automatischer Rotation.
  • Speichern Sie Token niemals im Quellcode oder in Umgebungsvariablen.
  • Verwenden Sie dedizierte CI-Dienstkonten mit minimalen Berechtigungen.

Erkennung und Überwachung:

  • Verfolgen Sie Veröffentlichungsmuster und geben Sie Warnungen bei ungewöhnlichen Ausbrüchen von einzelnen Maintainern aus.
  • Überwachen Sie GitHub Actions-Workflows auf geheime Serialisierung, wie z. B. toJSON(secrets).
  • Workflow-Erweiterungen zum Scannen externer HTTP-Anfragen.
  • Neue öffentliche Repositories mit ungewöhnlichen Namen oder verschlüsselten Inhalten erkennen.
  • Überwachen Sie Entwickler-Workstations auf unerwartete Proxy-Server, CI/CD Runner, VNC-Prozesse oder Blockchain-RPC-Abfragen.

Vorfallantwort:

  • Behandeln Sie jede Ausführung verdächtiger Installationen. hooks als vollständiger Kompromiss.
  • Gehen Sie davon aus, dass alle Token auf kompromittierten Hosts gestohlen wurden – rotieren Sie diese sofort.
  • Wiederaufbau betroffen CI/CD Läufer aus sauberen Bildern.
  • Prüfen Sie alle Pakete, die sich im Besitz kompromittierter Konten befinden, auf schädliche Versionen.
  • Überprüfen Sie die Persistenz in GitHub-Workflows und Repository-Einstellungen.

KI-Anbieter betonen oft, dass jedes Werkzeug sowohl für gute als auch für böse Zwecke eingesetzt werden kann. KI-Systeme können den Missbrauch zwar nicht vollständig verhindern, aber sie können ihn erschweren und die forensische Transparenz verbessern. Die eigentliche Designfrage lautet nicht „Kann KI missbraucht werden?“, sondern „Wie viel Aufwand können wir betreiben, ohne die legitime Nutzung zu beeinträchtigen?“ Eines bleibt festzuhalten: Das Jailbreaking heutiger KI-Systeme ist viel zu einfachDie Analyse bösartiger Eingabeaufforderungen in jüngsten Angriffen zeigt, dass sich der Nichtdeterminismus des LLM auch auf deren guardrails.

Es zeichnen sich verschiedene Ansätze zur Verbesserung der KI-Sicherheit ab: starke Ursprungsauthentifizierung, vertrauenswürdige Inhaltsisolierung und richtlinienbasierte Kontrollen für externe Systeme (wobei MCP und ähnliche Protokolle nun Einzug halten). Ob KI zur nächsten Waffe für groß angelegte Angriffe auf Open-Source-Infrastrukturen wird, bleibt abzuwarten.

MEHR LESEN

Über den Autor

Geschrieben von Luis Rodriguez , Mitbegründer und CTO bei Xygeni-Sicherheit.

Luis ist Physiotherapeut.cist, Mathematiker, und CISSP mit über 20 Jahren Erfahrung im Bereich Softwaresicherheit. Er hat bedeutende Sicherheitsinitiativen geleitet und dazu beigetragen. SAST, SCAund fortschrittlichen Codeanalysetechnologien. Heute konzentriert er sich auf software supply chain security, die fundierte Forschung mit praktischer Entwicklungsarbeit verbindet, um Teams bei der Verteidigung moderner DevSecOps-Systeme zu unterstützen. pipelines von neu auftretenden Bedrohungen.

SCA-Tools-Software-Zusammensetzungs-Analyse-Tools
Priorisieren, beheben und sichern Sie Ihre Softwarerisiken
7-Tage kostenlose Testversion
Keine Kreditkarte erforderlich
Kostenlos Ausprobieren

Sichern Sie Ihre Softwareentwicklung und -bereitstellung

mit der Xygeni-Produktsuite

Kostenlos ausprobieren
Machen Sie die Produkttour
Xygeni Logo Weiß

© 2026 Xygeni. Alle Rechte vorbehalten

Linkedin-in X-Twitter Youtube

Produkte

Ressourcen

Unternehmen

Rechtliches