Im Visier der Hacker: kritische Entwickler-Tools und KI-Frameworks. Besonders betroffen sind die Paketverwaltungen npm und PyPI.
Sicherheitsforscher von Check Point, Socket und Sonatype haben eine Reihe gezielter Injektionen identifiziert. Die Angriffe werden einer Gruppe namens TeamPCP zugeschrieben. Die aktuelle Welle markiert eine deutliche Eskalation: Erstmals setzen die Täter selbstvermehrende Würmer und sogenannte „Trust-Boundary“-Exploits ein.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen
Bitwarden und Elementary CLI kompromittiert
Am 27. April bestätigte der Passwortmanager Bitwarden einen schwerwiegenden Vorfall. Eine manipulierte Version seines CLI-Tools (2026.4.0) gelangte über npm in die Öffentlichkeit. Der Schadcode zielte auf Umgebungsvariablen und Cloud-Zugangsdaten. Bitwarden betont, dass die eigentlichen Tresordaten nicht gefährdet seien. Rund 334 Entwickler installierten die kompromittierte Version, bevor das Paket entfernt wurde. Ursache: Ein gekapertes GitHub-Konto umging die standardmäßigen Freigabeprozesse.
Parallel dazu schlugen Angreifer beim Elementary Python CLI (elementary-data) zu. Das Tool mit über 1,1 Millionen monatlichen Downloads enthielt in Version 0.23.3 Schadcode. Die Hacker nutzten eine Schwachstelle in der GitHub-Actions-Workflow-Konfiguration aus. So konnten sie ein vergiftetes Update direkt ausliefern, ohne die Haupt-Zugangsdaten der Maintainer zu benötigen. Der Schädling zielte auf Entwickler-Secrets und Krypto-Wallet-Daten ab.
TeamPCP und der „CanisterSprawl“-Wurm
Die aktuelle Angriffswelle wird dominiert von der Gruppe TeamPCP (auch als UNC6780 bekannt). Laut einem Bedrohungsbericht vom 27. April hat die Gruppe innerhalb von sieben Tagen mindestens fünf große Pakete auf PyPI und npm attackiert.
Besonders brisant: Der Angriff auf Xinference, ein Framework zum Ausführen großer Sprachmodelle (LLMs). Die Angreifer veröffentlichten drei manipulierte Versionen (2.6.0 bis 2.6.2) auf PyPI. Der Schadcode war in Initialisierungsdateien versteckt und wurde beim Import automatisch ausgeführt. Ziel: Cloud-Provider-Tokens und SSH-Schlüssel aus Entwicklerumgebungen stehlen.
Die Sicherheitsfirma Socket beobachtet zudem ein separates, aber verwandtes Phänomen namens „CanisterSprawl“ oder „CanisterWorm“. Diese Kampagne nutzt eine wurmartige Verbreitung: Einmal auf einem Entwicklerrechner installiert, sucht die Malware nach npm- und PyPI-Publishing-Tokens. Findet sie welche, erhöht sie automatisch die Version aller Pakete, die das Opfer verwalten darf, injiziert sich selbst und veröffentlicht die vergifteten Pakete erneut.
Ein besonderes Merkmal: Die Malware nutzt Internet-Computer-Protocol (ICP) Canister als Kommando- und Kontrollkanäle. Da diese auf einer dezentralen Blockchain-Infrastruktur laufen, sind sie extrem widerstandsfähig gegen traditionelle Domain-Beschlagnahmungen. Betroffene Pakete sind unter anderem @automagik/genie und pgserve, die häufig in automatisierten KI-Coding-Agenten-Workflows zum Einsatz kommen.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-Report zur Cyber Security anfordern
Rekordzahlen: 21.764 Schadpakete im ersten Quartal 2026
Die Vorfälle Ende April fallen mit der Veröffentlichung des Q1 2026 Open Source Malware Index von Sonatype zusammen. Demnach identifizierten Forscher in den ersten drei Monaten 2026 insgesamt 21.764 bösartige Open-Source-Pakete. Seit Beginn der Aufzeichnungen 2017 summiert sich die Zahl auf 1.346.867.
Das npm-Ökosystem bleibt mit 75 Prozent aller identifizierten Schadpakete das Hauptziel. Die dominierende Schadcode-Art hat sich zu Trojanern gewandelt, die auf drei Ziele fokussieren: Credential-Diebstahl, Host-Erkundung und die Auslieferung gestaffelter Payloads. Das ist eine Abkehr von früheren Trends, die auf einfache Typosquatting- oder Brandjacking-Taktiken setzten.
Forscher von Checkmarx beobachten einen Anstieg der identifizierten Schadpakete um fast 92 Prozent in den letzten zwei Jahren. Moderne Angreifer setzen nicht mehr auf „Low-Effort“-Schwachstellen, sondern zielen auf die „Trust Boundaries“ der Software-Lieferkette. Dazu gehört die Kompromittierung genau jener Sicherheitswerkzeuge – wie Scanner und CI/CD-Runner – die Entwickler zum Schutz ihrer Codebasis einsetzen.
KI-Infrastruktur im Fokus der Angreifer
Ein wiederkehrendes Muster der aktuellen Angriffswelle ist die gezielte Ausrichtung auf KI-bezogene Infrastruktur. Neben Xinference und LiteLLM haben Forscher eine neue Klasse von „LLM-Proxy“-Malware identifiziert. Am 22. April deckten Sicherheitsfirmen eine Kampagne mit Paketen wie kube-health-tools (npm) und kube-node-health (PyPI) auf, die als Kubernetes-Utilities getarnt waren.
Diese Pakete installierten heimlich einen vollwertigen Go-basierten SOCKS5-Proxy und ein OpenAI-kompatibles API-Gateway auf kompromittierten Servern. So können Angreifer ihren eigenen LLM-Traffic durch die Infrastruktur des Opfers leiten – im Grunde werden Unternehmensserver zu Relais-Knoten für kommerzielle KI-Wiederverkaufsplattformen. Noch gefährlicher: Diese Proxys ermöglichen es, bösartige Tool-Aufrufe in die Antworten von KI-Coding-Agenten einzuschleusen, bevor sie den Entwickler erreichen.
Ausblick: Strengere Regeln für automatisierte Release-Pipelines gefordert
Die rasche Abfolge von Kompromittierungen hat die Open Source Security Foundation (OpenSSF) und andere Regulierungsbehörden zu erneuten Forderungen nach strengeren Kontrollen veranlasst. Die Verwundbarkeit von GitHub Actions, wie im Elementary-CLI-Vorfall gesehen, ist zum Hauptanliegen von Enterprise-Sicherheitsteams geworden.
Die US-Cybersicherheitsbehörde CISA und andere internationale Behörden betonen die Bedeutung von Software-Stücklisten (SBOM) und die Einführung von „Cooldown-Checks“ für neue Paketversionen. Branchenexperten raten Entwicklern, Pakete zu meiden, die weniger als 24 Stunden alt sind – um Sicherheitsscannern und der Forschungsgemeinschaft Zeit zu geben, potenzielle Injektionen zu identifizieren.
Unternehmen werden dringend aufgefordert, alle CI/CD-Secrets und Cloud-Zugangsdaten zu rotieren, falls sie mit betroffenen Versionen von Bitwarden CLI, Xinference oder Elementary-data interagiert haben. Da Angreifer zunehmend dezentrale Infrastruktur und KI-gestützte Exploit-Plattformen nutzen, ist die Zeitspanne zwischen Malware-Veröffentlichung und aktiver Ausnutzung auf unter 13 Stunden geschrumpft.
