Absturz oder Kernschmelze: Cisco Source Code gestohlen; Anthropic Claude Code geleakt; ChatGPT-Schwachstelle etc.

Angeblich soll der Source Code von Cisco gestohlen worden sein. Anthropic ist ein Fehler unterlaufen, wodurch der Code von Claude Code geleakt wurde. In OpenAIs ChatGPT wurde wieder eine Angriffsmöglichkeit entdeckt, um Daten unbemerkt zu exfiltrieren. Und jeden Tag kann ich über die Kompromittierung einer Lieferkette oder eine neue Schwachstelle berichten. Durch den KI-Einsatz ist nicht nur alles schneller geworden, sondern die Fehler häufen sich und die Angriffsfläche hat sich arg vergrößert. Erleben wir gerade den Absturz der Software-Industrie oder so etwas wie eine "Kernschmelze" der Software-Entwicklung?

Lieferkettenangriffe am laufenden Band

Die Tage hatte ich im Beitrag Python-Paket mit 96 Millionen Downloads über simplen Befehl infiziert; 500.000 Anmeldedaten abgezogen? über einen Lieferkettenangriff auf LiteLLM berichtet. Am  24. März 2026 wurde die Python PyPI-Version 1.82.8 von LiteLLM kompromittiert.

Im Artikel hatte ich einerseits erwähnt, dass der Angreifer, der unter dem Alias TeamPCP agiert, sich die PyPI-Zugangsdaten des Paket-Maintiners durch einen früheren Angriff auf Trivy verschaffen konnte. Trivy ist ein Open-Source-Sicherheitsscanner, der in der CI/CD-Pipeline von LiteLLM zum Einsatz kommt. Laut diesem Beitrag ist das jetzt das zweite Mal, dass Trivy (jetzt in der v0.69.4) kompromittiert wurde.

LiteLLM kommt auf 97 Millionen Downloads pro Monat, und die Infektion breitet sich auf jedes Projekt aus, das von litellm abhängt. TeamPCP behauptet, dass man Daten von mehreren milliardenschweren Unternehmen abgezogen habe und diese Firmen nun erpresst.

Vor wenigen Stunden hatte ich dann den Beitrag Kompromittierte axios npm-Pakete verbreiten Schadsoftware hier im Blog. Axios ist eine der beliebtesten JavaScript-Bibliotheken für HTTP-Anfragen, die in React, Vue, Angular, Next.js und vielen Node.js-Backends verwendet, um mit APIs zu kommunizieren.  Wir reden von  wöchentlich 300 Millionen Downloads in anderen Projekten. Die Schadsoftware im axios npm-Paket installiert einen Remote Access Trojaner (RAT), so dass da mit einem weiteren "Shake-out" bei Kollateralschäden auszugehen ist. So viel zur Einstimmung auf die folgenden Abschnitte.

Warnung des SANS-Instituts

Die Nacht ist mir eine Warnung des SANS Institutes zum axios-Lieferkettenangriff zugegangen. Den Teil zu axios spare ich mir, da dieser in obigem Beitrag angesprochen wurde.

Spannender ist, dass erste Analysen darauf hindeuten, dass dieser Angriff eine Fortsetzung der TeamPCP-Supply-Chain-Kampagne sein könnte. Zwischen dem 19. und 27. März 2026 kompromittierte TeamPCP in rascher Folge vier weit verbreitete Open-Source-Projekte:

• den Trivy-Schwachstellenscanner (19. März),
• den KICS-Infrastructure-as-Code-Scanner (23. März),
• die LiteLLM-KI-Proxy-Bibliothek auf PyPI (24. März) und
• die Telnyx-Kommunikationsbibliothek auf PyPI (27. März)

In jedem Fall sammelte die Malware Cloud-Anmeldedaten, SSH-Schlüssel, Kubernetes-Konfigurationsdateien und CI/CD-Geheimnisse. Forscher von Wiz beobachteten, wie TeamPCP gestohlene Anmeldedaten innerhalb weniger Stunden mit TruffleHog validierte und anschließend Erkundungen in AWS-Diensten wie IAM, EC2, Lambda, S3 und Secrets Manager durchführte.

Die Security Analysten des SANS Institutes gehen davon aus, dass TeamPCP wahrscheinlich Zugriff auf einen Vorrat an kompromittierten Anmeldedaten für Veröffentlichungen hat und möglicherweise als Initial Access Broker (IAB) agiert, der den Zugriff an andere Bedrohungsakteure verkauft.

Sollte dies zutreffen, wird sich dieses Muster von Supply-Chain-Kompromittierungen, die auf Pakete mit hohen Downloadzahlen abzielen, in den kommenden Wochen und Monaten fortsetzen. Unternehmen sollten alle durch diese Vorfälle offengelegten Anmeldedaten als aktiv ausgenutzt betrachten.

Ich habe es noch nicht im Blog thematisiert (vielleicht kommt es die Tage): Hinter den Kulissen baut sich eine "konzertierte Aktion" von einigen Threat-Akteuren auf, die das gesamte Software-Eco-System sturmreif schießen könnten, so so gut wie jedes Software-Paket irgendwo von Fremdkomponenten abhängt.

Mutmaßlich Nordkorea hinter Axios-Angriff

Ergänzung: Momentan überschlagen sich die Erkenntnisse. Die Pressestelle von Google Cloud Security hat mich gerade kontaktiert und schreibt, dass die Google Threat Intelligence Group (GTIG) den jüngsten Supply-Chain-Angriff auf das axios-NPM-Paket mutmaßliche dem nordkoreanischen Bedrohungsakteur UNC1069 (und nicht TeamPCP) zuschreibt. Die Sicherheitsexperten haben den neue Blogbeitrag North Korea-Nexus Threat Actor Compromises Widely Used Axios NPM Package in Supply Chain Attack mit Details veröffentlicht. John Hultquist, Chief Analyst der Google Threat Intelligence Group sagt dazu:

Die GTIG untersucht derzeit den Angriff auf die axios-Supply-Chain – ein Vorfall, der nicht mit den jüngsten Supply-Chain-Problemen rund um TeamPCP zusammenhängt. Wir haben den Angriff einem mutmaßlichen nordkoreanischen Bedrohungsakteur UNC1069 zugeordnet […]. Nordkoreanische Hacker verfügen über umfangreiche Erfahrung mit Supply-Chain-Angriffen, die sie in der Vergangenheit häufig genutzt haben, um Kryptowährungen zu stehlen. Das volle Ausmaß dieses Vorfalls ist derzeit noch unklar, aber angesichts der großen Verbreitung des kompromittierten Pakets gehen wir davon aus, dass die Auswirkungen weitreichend sein werden.
Cisco Source Code gestohlen

Die Nacht bin ich auf nachfolgenden Tweet der Kollegen von Bleeping Computer gestoßen (Leser haben mich zwischenzeitlich auch darauf hingewiesen, danke dafür).

Die Kollegen schreiben in diesem Artikel, dass Cisco Opfer eines Cyberangriffs geworden sei, bei dem Angreifer in die Systeme der internen Entwicklungsumgebung eindringen konnten. Es gelang den Angreifern, Quellcode von Cisco und von dessen Kunden zu stehlen. Der Zugriff auf die interne Entwicklungsumgebung gelang über gestohlene Zugangsdaten aus dem jüngsten Trivy-Supply-Chain-Angriff.

Genau diesen Lieferkettenangriff auf Trivy hatte ich in obigem Absatz bereits thematisiert. Bleeping Computer hat einen Tipp aus der Leserschaft bekommen, dass die Teams des Unified Intelligence Center, des CSIRT und des EOC von Cisco den Angriff eindämmen konnten. Beim Angriff wurde ein bösartiges "GitHub Action-Plugin" aus dem jüngsten Trivy-Hack verwendet, um Anmeldedaten und Daten aus der Build- und Entwicklungsumgebung des Unternehmens zu stehlen.

Also das "volle Programm" mit Zugriff auf die Kronjuwelen. Bleeping Computer wurde von einer Quelle mitgeteilt, dass Cisco mit anhaltenden Folgen der darauf folgenden LiteLLM- und Checkmarx-Angriffe auf die Lieferkette rechnet. Ergänzung: Meinen neusten Informationen nach reklamiert die Gruppe ShinyHunters den Angriff auf Cisco, Salesforce Aura und nicht näher bezeichnete AWS-Buckets.

Antrophic veröffentlicht irrtümlich Claude Code-Quellen

Ich hatte es die Nacht kurz im Artikel Oracle entlässt 20.000 bis 30.000 Mitarbeiter, CEOs von Coca Cola & Walmart treten wegen AI-Transformation zurück und mehr angerissen, erwähne es hier aber im Kontext. Der Quellcode von Anthropics Claude Code (CLI Tool) wurde gerade auf Grund eines menschlichen Fehlers veröffentlicht. Die Kurzfassung: Eine irrtümlich mit im npm-Registry veröffentlichte Source-Map-Datei ermöglichte es Dritten den betreffenden Source-Code zu ziehen. heise hat es vor einigen Stunden in diesem Artikel aufgegriffen. Inzwischen gibt es bereits einen "Port" namens Claw Code auf GitHub.

Einschläge am laufenden Band

Abschließend noch einige Informationssplitter, die mir die letzten Stunden und Tage untergekommen sind und die Schieflage in der Software-Entwicklung, wie unter einem Brennglas, verdeutlichen.

Neue ChatGPT-Methode zur Daten-Exfiltration

Vor einigen Stunden ist mir nachfolgender Tweet untergekommen. Sicherheitsforscher sind auf eine Möglichkeit gestoßen, ChatGPT in ein Werkzeug zur Daten-Exfiltration zu verwandeln.

Ein schädlicher Prompt reicht aus, um Daten des Nutzers abzufischen. CheckPoint hat die Details des Angriffs im Blog-Beitrag ChatGPT Data Leakage via a Hidden Outbound Channel in the Code Execution Runtime veröffentlicht.

Bubble AI generiere Apps zum Abfischen von MS-Anmeldedaten

Sicherheitsforscher von Kaspersky haben kürzlich eine Angriffsmethode über Web-Apps aufgedeckt, die auf Microsoft Anmeldedaten für Konten abzielt. Die Angreifer verwenden das Tool Bubble AI, um entsprechende bösartige Webanwendungen zu erstellen und dann  auf der Plattform zu hosten. Die Kollegen von Bleeping Computer haben dies vor einigen Tagen im Beitrag Bubble AI app builder abused to steal Microsoft account credentials aufgegriffen.

Die Vibe-Coding Falle schnappt zu

In diesem Tweet wirft jemand die These auf, dass jedes große Unternehmen Vibe-Coding irgendwann verbieten werde. Wir haben die Geschwindigkeit beim Schreiben von Code verzehnfacht, aber bei allem, was nach dem Schreiben des Codes passiert, stecken die Entwickler immer noch "in der Steinzeit".

Das Erstellen von Code ist kein Engpass mehr. Aber Vibe-Coding verursache mittlerweile in der Hälfte der Zeit genauso viel technische Schulden wie 10 reguläre Entwickler, schreibt der Autor des Tweets. Das Testen dieses Codes, das Debuggen, die Überwachung in der Produktion und das Beheben von Fehlern stellen den wahren Flaschenhals dar. Vibe-Coding eigne sich hervorragend für einen ersten Entwurf. Aber man könne nicht erwarten, dass man schlampig programmierten KI-Code in die Produktion gibt, ohne dass die Software mit der Zeit kaputtgeht. Diese Fragestellungen hatte ich schon vor Monaten in diversen Blog-Beiträgen aufgeworfen.

Vibe Coding-Analyse von Digitain

Von digitain.com liegt mir noch eine Information vor, dass Vibe-Coding zwar den Entwicklungsprozess beschleunigt. Doch seien bis zu 60–65 % des Codes anfällig für Malware-Bedrohungen. Die Experten des iGaming-Softwareanbieters Digitain haben die beliebtesten Tools für das Vibe-Coding und die damit verbundenen Schwachstellen analysiert, nachdem der Vorfall mit der Tea Dating-App publik wurde.

• Prompt-Injection stellt die größte Bedrohung für eingesetzte LLM-Systeme dar, da sie es Hackern ermöglicht, den Code allein durch eine Anfrage an ein KI-Tool zu verändern.
• Das Tool GitHub Copilot hat die Produktivität der Entwickler gesteigert, doch weniger als ein Drittel des von der KI geschriebenen Codes wird tatsächlich übernommen.
• Code-Duplikate führen zu Problemen bei der Wartung, Lesbarkeit und Fehlerbehebung und treten in KI-generierter Software viermal häufiger auf.

Die Experten von Digitain untersuchten Statistiken zu KI-generiertem Code aus 20 LLM-Modellen und verglichen deren Sicherheitsmaßnahmen, Schwachstellen bei der Prompt-Einschleusung sowie weitere wesentliche Sicherheitsrisiken. Auf der Grundlage der gesammelten Daten beantworteten die Experten vier zentrale Fragen zum Thema Vibe-Coding.

Die Gretchenfrage lautete: Welche LLMs sind für das Vibe-Coding am wenigsten sicher? Die nächste Generation von LLMs weist zwar eine verbesserte Syntaxqualität auf, doch die Sicherheitsprobleme bestehen weiterhin. Anthropic Claude Opus 4.1 zeigte die schlechtesten Ergebnisse und bestand nur 49 % der Sicherheitstests. Vier weitere Modelle (alle von Claude und Qwen3) erreichten lediglich 50 von 100 Punkten.

Die neuen Reasoning-Modelle von OpenAI schnitten am besten ab, wobei OpenAI GPT-5 Mini mit 72 % die höchste Sicherheitsbewertung erzielte. Obwohl dies der neue Maßstab für die Sicherheit beim Vibe-Coding ist, bietet es immer noch zu viele Angriffsmöglichkeiten für Malware.

Warum ist die Prompt-Injection für die Vibecoding-Entwicklung so gefährlich? Diese Technik sendet bösartige Befehle an das LLM, wodurch die ursprünglichen Vorgaben des Entwicklers außer Kraft gesetzt werden können. Datenexfiltration ist mit einer Erfolgsquote von 84 % die erfolgreichste Hacking-Methode. Persistente Mechanismen (eine Möglichkeit, den Zugriff auf ein kompromittiertes System aufrechtzuerhalten) sind mittels Prompt-Injection am schwierigsten zu implementieren, doch gelang dies den Testern in 41 % der Fälle dennoch.

"Prompt-Injection lässt sich nicht durch eine Überprüfung des Codes oder regelmäßige Sicherheitsüberprüfungen beheben", argumentieren die Experten von Digitain. "Es wird erwartet, dass in nur zwei Jahren über 75 % der Softwareentwickler KI für die Programmierung nutzen werden. Doch der Zugriff von LLMs auf Codebasen stellt eine der größten Sicherheitsbedrohungen dar. Jüngste Tests zeigen, dass jedes der getesteten großen KI-Modelle in mindestens 50 % der Fälle anfälligen C-Code erzeugt hat." heißt es von den Experten.

Neue Sicherheitsrisiken für Lieferkettenangriffe durch KI-Coding-Agenten

The Register hatte sich vor einer Woche im Beitrag  AI supply chain attacks don't even require malware…just post poisoned documentation von einer anderen Seite der Thematik der KI-Code-Erzeugung genähert. Durch KI Coding Agenten reißen wir neue Sicherheitslöcher für Lieferketten auf. Es reiche bereits eine "fehlerhafte Dokumentation", um Schwachstellen zu erzeugen.

"Coding-Agenten verwenden oft veraltete APIs und interpretieren Parameter falsch", schreibt Ng in einem LinkedIn-Beitrag, der seinen neuen Context Hub bewirbt. Mir fällt direkt mein Beitrag Nachlese: McKinsey KI-Plattform Lilli von KI geknackt, die Hütte ist am Brennen ein, wo nicht abgesicherte APIs von einem AI-Bot gefunden und zum Eindringen in die McKinsey KI-Plattform Lilli genutzt wurde.

Eigentlich sollte mit den neuen AI-Tools doch alles besser werden. Stattdessen wird Software immer schneller, mit mehr Fehlern und mehr Sicherheitslücken über die Anwender gekippt. Für mich wirft das die Frage auf, ob der gesamte KI-gestützte Entwicklungsprozess nicht so langsam zeigt, dass das alles nicht mehr beherrschbar ist. Und die provokative Frage, die sich mir so langsam stellt: "Steuern wir auf so etwas wie eine Kernschmelze der Software-Entwicklung zu?"

Ähnliche Artikel:
Shai-Hulud 2.0 NPM-Malware-Angriff erbeutet ~400 K Entwickler-Geheimnisse
Der npm-Angriff geht weiter – "Wurm" infiziert Pakete
npm-Hack: Konto gehackt; 18 npm-Pakete mit Millionen Downloads kompromittiert
Python-Paket mit 96 Millionen Downloads über simplen Befehl infiziert; 500.000 Anmeldedaten abgezogen?