Eine neue Malware-Suite namens „Snow“ zielt auf Microsoft Teams-Nutzer, während die Supply-Chain-Attacke „Mini Shai-Hulud“ SAP-Entwicklerumgebungen infiltriert.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheit stärken und Bedrohungen abwenden
„Mini Shai-Hulud“: SAP-Entwickler im Visier
Am 29. April identifizierten Forscher von Wiz, Aikido Security und Sophos eine schwerwiegende Kompromittierung im SAP-JavaScript-Ökosystem. Mehrere populäre npm-Pakete wurden mit Schadcode infiziert – darunter mbt (Version 1.2.48) und spezifische Versionen von @cap-js/db-service, @cap-js/postgres und @cap-js/sqlite.
Die manipulierten Pakete enthalten Preinstall-Hooks, die bei der Installation aktiv werden. Statt Node.js-Skripten lädt ein Bootstrapper die Bun-JavaScript-Laufzeitumgebung herunter. Diese führt eine 11 Megabyte große, hochgradig obskurierte Payload aus.
Warum Bun? Laut StepSecurity-Experten wird diese Ausführungsmethode von gängigen Analyse-Tools noch nicht erfasst.
Das primäre Ziel: der Diebstahl von Zugangsdaten von Entwicklerrechnern und CI/CD-Pipelines. GitHub-Tokens, Cloud-Schlüssel für AWS, Azure und GCP sowie Kubernetes-Geheimnisse wurden extrahiert. Die gestohlenen Daten landen über öffentliche GitHub-Repositories der Opfer im Netz. Bis heute wurden über 1.100 solcher Repositories mit der Beschreibung „A Mini Shai-Hulud has Appeared“ registriert.
UNC6692: „Snow“-Malware kapert Microsoft Teams
Parallel dazu läuft eine Kampagne gegen Microsoft-365-Umgebungen. Die Gruppe UNC6692 nutzt gezieltes Phishing über Microsoft Teams, um die modulare Malware-Suite „Snow“ zu verbreiten.
Der Angriff beginnt mit einer Flut von Spam-E-Mails. Kurz darauf meldet sich ein vermeintlicher IT-Support direkt über Teams und bietet Hilfe an. Die Angreifer nutzen das Vertrauen in interne Kommunikationstools aus. Ein Link zu einem angeblichen „Mailbox Repair Tool“ führt auf eine täuschend echte Phishing-Seite.
Ein besonderer psychologischer Trick: Die ersten zwei Passworteingaben werden als falsch zurückgewiesen. Das suggeriert eine echte Validierung – und stellt sicher, dass die Angreifer Tippfehler ausschließen können. Während eine gefälschte Fortschrittsanzeige läuft, installiert sich im Hintergrund die „Snow“-Suite:
- SnowBelt: Eine JavaScript-Browser-Erweiterung für Chromium, getarnt als „MS Heartbeat“
- SnowGlaze: Ein Python-Tunneler, der C2-Kommunikation in Base64-codierte JSON-Objekte verpackt
- SnowBasin: Eine Python-Backdoor für Befehlsausführung, Screenshots und Datendiebstahl
Besonders kritisch: Der Angriff nutzt keine Softwarelücken aus, sondern missbraucht legitime Funktionen von Teams.
Kritische Lücken und mobile Sicherheit
SAP veröffentlichte im April 2026 insgesamt 20 Sicherheitshinweise. Die Schwachstelle CVE-2026-27681 sticht mit einem CVSS-Score von 9.9 heraus. Es handelt sich um eine SQL-Injection-Lücke in den Modulen BPC und BW. Ein authentifizierter Nutzer mit geringen Privilegien kann beliebige SQL-Befehle ausführen – mit potenziell verheerenden Folgen für Finanzplanungsdaten.
Gleichzeitig müssen Unternehmen handeln: SAP kündigte ein kritisches Update des Root-Zertifikats für die BTP an. Nutzer der App „SAP Mobile Start“ auf Android 13 oder älter müssen das Zertifikat manuell installieren – sonst verlieren sie den Zugriff. Für iOS gilt nun iOS 18 als Mindestanforderung.
Microsoft schloss im April eine Schwachstelle in Entra ID, die KI-Agenten zur Eskalation von Berechtigungen nutzen konnten. Doch Telemetriedaten zeigen: In über der Hälfte aller Mandanten existieren weiterhin privilegierte Dienstprinzipale – ein Risiko für die vollständige Übernahme des Tenants.
CEO-Fraud und psychologische Manipulationstaktiken – erfahren Sie in diesem kostenlosen Report, wie Hacker gezielt Mitarbeiter täuschen und wie Sie Ihr Unternehmen in 4 Schritten schützen. Anti-Phishing-Paket jetzt kostenlos herunterladen
Identität als neues Schlachtfeld
Die aktuellen Vorfälle zeigen eine strategische Verschiebung. Angreifer zielen auf die „weiche“ Flanke: Mitarbeiter-Identitäten und die Integrität von Entwicklungswerkzeugen. Der SAP-npm-Angriff nutzt das Vertrauen in Open-Source-Abhängigkeiten aus, um vor der Softwarebereitstellung Cloud-Schlüssel zu stehlen.
Die UNC6692-Kampagne zeigt: Selbst MFA kann durch Social Engineering in Kollaborationsplattformen ausgehebelt werden. Angreifer greifen direkt in den Arbeitsfluss ein und umgehen klassische Perimeter-Lösungen.
Handlungsempfehlungen
Unternehmen sollten die betroffenen SAP-npm-Pakete sofort prüfen und aktualisieren. Passwörter aus infizierten Umgebungen müssen rotiert werden. Für Microsoft-Umgebungen gilt: Richtlinien für externe Teams-Zusammenarbeit verschärfen und Mitarbeiter über IT-Support-Impersonating aufklären.
Langfristig braucht es eine Zero-Trust-Architektur: Jede Identität und jeder Zugriff muss kontinuierlich verifiziert werden – egal ob über mobiles Endgerät, Desktop oder automatisierte Pipeline.
