Eine Welle gezielter Hackerangriffe erschüttert die globale IT-Sicherheit. Innerhalb weniger Tage wurden Grafana Labs attackiert, Cloud-Identitäten gekapert und Entwickler-Tools mit Schadsoftware verseucht. Die Angriffe zeigen: Der Kampf um digitale Schlüssel ist zur neuen Frontlinie geworden.
Grafana Labs: Code-Diebstahl per GitHub-Token
Am 18. Mai 2026 schlug die Sicherheitswarnung von Grafana Labs ein. Das Unternehmen, bekannt für seine Open-Source-Monitoring-Tools, räumte ein, dass Angreifer über einen gestohlenen GitHub-Token Zugriff auf interne Code-Repositories erlangt hatten. Die Täter kopierten Teile des Quellcodes – ob auch proprietäre Bestandteile betroffen sind, blieb zunächst offen.
Die gute Nachricht: Weder Kundendaten noch Finanzinformationen gelangten in falsche Hände. Grafana Labs verweigerte zudem jede Lösegeldverhandlung – eine Entscheidung, die das Unternehmen mit der offiziellen Empfehlung des FBI begründete. Der Vorfall unterstreicht ein wachsendes Problem: GitHub-Tokens, eigentlich für automatisierte Entwicklungsprozesse gedacht, werden oft versehentlich in öffentlichen Repositories veröffentlicht oder von kompromittierten Arbeitsstationen abgegriffen.
Angesichts der zunehmenden Angriffe auf Cloud-Identitäten und Unternehmensnetzwerke ist ein fundiertes Risikoverständnis für IT-Verantwortliche unverzichtbar. Dieses kostenlose E-Book enthüllt aktuelle Bedrohungstrends und zeigt, wie Sie Sicherheitslücken proaktiv schließen, ohne Ihr Budget zu sprengen. Cyber-Sicherheit: Jetzt Unternehmen effektiv schützen
Storm-2949: Wenn eine Identität das ganze Cloud-Reich öffnet
Während Grafana Labs einen lokalisierten Angriff verkraftete, veröffentlichte Microsoft Threat Intelligence am selben Tag eine Analyse über die Bedrohungsgruppe Storm-2949. Deren Spezialität: Aus einer einzigen kompromittierten Identität einen flächendeckenden Cloud-Einbruch zu machen.
Die Angreifer beginnen mit Social Engineering und missbrauchen die Self-Service-Password-Reset-Funktion (SSPR) von Microsoft 365. Einmal im System, plündern sie OneDrive und SharePoint, zielen aber vor allem auf tiefere Produktionsumgebungen: Azure Key Vaults und Storage Accounts. Wer diese digitalen Tresore knackt, kann sich quer durch die gesamte Cloud-Infrastruktur bewegen.
Diese „Identität-zu-Cloud“-Pipeline wird zum bevorzugten Werkzeug professioneller Angreifer. Statt nach Software lücken zu suchen, nutzen sie die legitimen Verwaltungswerkzeuge der Cloud-Plattformen – und tarnen sich als autorisierte Nutzer.
Gefährliche Pakete: Schadsoftware im Entwickler-Alltag
Auch die Entwickler-Community geriet ins Visier. Am 18. Mai entdeckten Sicherheitsforscher eine neue Welle bösartiger Pakete im npm-Registry, der weltweit größten Sammlung von JavaScript-Bibliotheken. Ein Nachahmer der bekannten Shai-Hulud-Malware versteckte sich im Paket „chalk-tempalte“ – ein klassischer Typo-Squatting-Angriff, der auf Tippfehler setzt.
Hinter dem Account @deadcode09284814 fanden die Ermittler weitere Schadpakete: @deadcode09284814/axios-util und color-style-utils. Diese stahlen Cloud-Konfigurationen, Kryptowährungs-Wallets (MetaMask, Phantom) und gespeicherte Zugangsdaten. Ein Paket enthielt sogar einen Botnet für DDoS-Angriffe. Trotz der Gefahr verzeichneten die Pakete 2.678 wöchentliche Downloads, bevor sie gesperrt wurden.
2FA-Knacker und macOS-Schädlinge
Die Sicherheitsbranche erlebt eine neue Generation von Angriffen auf die Zwei-Faktor-Authentifizierung. Das Tycoon 2FA-Phishing-Kit ist zurück – in einer aktualisierten Version, die OAuth 2.0 Device Authorization Flows missbraucht. Nutzer gewähren dabei unwissentlich dauerhaften Zugriff auf ihr Microsoft-365-Konto, ohne je ihr Passwort preiszugeben.
Parallel dazu wurde die macOS-Malware „Reaper“ identifiziert. Sie zielt auf das aktuelle macOS Tahoe 26.4, täuscht Apple-, Microsoft- und Google-Dienste vor und stiehlt nach der Installation Passwörter und Dateien. Ihr Trick: Sie tarnt sich als GoogleUpdate-Dienst und bleibt so unerkannt.
Besonders perfide: Angreifer nutzen inzwischen Googles eigene Wiederherstellungsformulare, um legitime Sicherheitswarnungen zu versenden. Diese E-Mails passieren alle Standard-Prüfungen (SPF, DKIM, DMARC). Ziel ist der Diebstahl von Zugangsdaten für Kryptobörsen. Allein Binance blockierte im ersten Quartal 2026 rund 22,9 Millionen Phishing-Versuche – ein Anstieg von 54 Prozent.
Phishing-Angriffe werden immer raffinierter und zielen verstärkt auch auf die mobilen Endgeräte der Nutzer ab. Ein Gratis-PDF-Ratgeber zeigt Ihnen fünf einfache und effektive Schutzmaßnahmen, mit denen Sie Ihr Smartphone in wenigen Minuten gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt entdecken
Basis-Sicherheit: „123456″ bleibt das größte Risiko
Trotz aller Hightech-Angriffe zeigt eine Analyse der Email Audit Engine ein erschreckendes Bild. Unter 1,3 Milliarden untersuchten Passwörtern aus aktuellen Datenlecks blieb „123456″ das mit Abstand häufigste – über 210 Millionen Mal verwendet. Auch „password“ und „admin“ gehören weiter zu den Favoriten.
Ein weiterer Alarmruf: Der Sicherheitsforscher Anurag Sen entdeckte einen ungesicherten AWS S3-Bucket des Hotel-Check-in-Systems Tabiq (Reqrea) . Seit Anfang 2020 waren dort über eine Million digitale Kopien von Reisepässen und Führerscheinen öffentlich zugänglich. Erst nach Hinweisen von JPCERT und Fachmedien wurde der Zugriff gesperrt – vier Jahre nach der ersten Fehlkonfiguration.
Ausblick: Zero Trust als einzige Lösung
Die Ereignisse der vergangenen Tage zeichnen ein klares Bild: 2026 wird zum Jahr der „Zero-Trust“-Sicherheitsstrategie. Bitcoin-Entwickler Jameson Lopp und andere Experten fordern Unternehmen auf, keiner internen oder externen Kommunikation mehr zu vertrauen. Die Zahlen geben ihnen recht: Die Kryptobranche verzeichnete 2025 Verluste von schätzungsweise 17 Milliarden Euro, die durchschnittliche Schadenssumme pro Opfer stieg um 253 Prozent.
Für die kommenden Monate erwarten Analysten strengere OAuth-Richtlinien und härtere Sicherheitsvorkehrungen für Cloud-Identitäten. Entwickler werden verstärkt auf automatisierte Secret-Scanning-Tools setzen, um digitale Schlüssel nicht mehr versehentlich in Code-Repositories zu hinterlegen. Und während Phishing mit KI-generierten Inhalten immer raffinierter wird, ersetzt die automatisierte, verhaltensbasierte Erkennung zunehmend die menschliche Kontrolle.
