Eine Serie koordinierter Cyberangriffe hat in den vergangenen Tagen mehrere Tech-Plattformen und Entwickler-Ökosysteme getroffen. Betroffen sind unter anderem GitHub, das Laravel-Lang-Framework sowie tausende mobile Banking-Nutzer. Die Angreifer erbeuteten sensible Zugangsdaten und schmuggelten Hintertüren in legitime Softwarepakete.
Angesichts der rasanten Zunahme von Cyberattacken auf Unternehmen ist ein proaktiver Schutz wichtiger denn je. Dieses kostenlose E-Book liefert fundierte Informationen zu aktuellen Bedrohungen und zeigt Ihnen, wie Sie Sicherheitslücken ohne hohes Budget schließen. IT-Sicherheits-Guide für Unternehmen jetzt kostenlos herunterladen
TeamPCP-Wurm legt GitHub lahm
Am 18. Mai 2026 gelang es der Hackergruppe TeamPCP, rund 3.800 interne GitHub-Repositories zu entwenden. Der Einbruch erfolgte über eine manipulierte Version der Nx Console-Erweiterung (v18.95.0), die nur kurz im offiziellen Kanal verfügbar war. Als zentrales Werkzeug setzten die Angreifer einen selbstreplizierenden Wurm namens Mini Shai-Hulud ein.
Die Kampagne läuft bereits seit März 2026 – insgesamt wurden over 500 vergiftete Pakete in 20 Angriffswellen identifiziert. Besonders brisant: Die Angreifer erbeuteten 92 Gigabyte Daten von der Europäischen Kommission. Auch die internen Repositories von OpenAI und Mistral AI wurden kompromittiert.
Sicherheitsforscher sehen die Hauptschwachstelle in langlebigen CI/CD-Tokens, die dem Wurm die Ausbreitung ermöglichten. GitHub kündigte als Reaktion eine überarbeitete Sicherheitsstrategie an.
Laravel-Lang: 700 Paketversionen mit Hintertür
Nur wenige Tage später, zwischen dem 22. und 23. Mai, traf es das Laravel-Lang-Ökosystem. Angreifer veröffentlichten rund 700 historische Versionen verschiedener Pakete auf dem Packagist-Repository neu – darunter laravel-lang/lang, attributes, actions und http-statuses. Jede dieser Versionen enthielt eine Remote-Code-Execution-Hintertür (RCE), versteckt in der Autoload-Konfiguration.
Der Schadcode fungierte als universeller Credential-Stealer: Er zielte auf Cloud-Zugangsschlüssel, Kubernetes-Secrets, SSH-Material und Browserdaten ab – inklusive Kryptowährungs-Wallets. Die gestohlenen Daten wurden AES-256-verschlüsselt an einen Kommando-Server gesendet.
Sicherheitswarnungen zufolge gelten alle Umgebungen, die während des Angriffszeitraums betroffene Paketversionen nutzten, als vollständig kompromittiert. Der Vorfall reiht sich ein in einen Angriff auf die TanStack-Bibliothek vom 11. Mai, bei dem bereits interne Zugangsdaten von OpenAI-Mitarbeitern abgegriffen wurden.
Mobile Bedrohung: 1,24 Millionen Banking-Trojaner-Attacken
Während Entwickler-Infrastrukturen im Fokus standen, eskalierte die Lage auch auf dem Smartphone-Sektor. Allein im ersten Quartal 2026 registrierten Sicherheitsforscher 1,24 Millionen Banking-Trojaner-Angriffe – ein Anstieg von 196 Prozent im Vergleich zum Vorjahr.
Da Millionen Nutzer täglich Online-Banking per Smartphone betreiben, werden mobile Geräte zum Hauptziel für Kriminelle. Ein gratis PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort effektiv gegen Hacker absichern. Kostenlosen Sicherheits-Ratgeber für Android-Smartphones sichern
Neue Varianten wie DevilNFC und NFCMultiPay nutzen die NFC-Schnittstelle, um kontaktlose Bezahlsysteme zu kompromittieren. Apple reagierte am 23. Mai mit iOS 26.5 und 52 Sicherheitsupdates, darunter ein Patch für die kritische Lücke CVE-2026-28950.
Die Bedrohungslage wird zusätzlich durch KI-generierte Phishing-Kampagnen verschärft: 86 Prozent aller aktuellen Phishing-Angriffe sind laut Branchendaten automatisiert erstellt. Allein in der zweiten Jahreshälfte 2025 entstand dadurch ein Schaden von knapp einer Milliarde Euro.
Eine zehnmonatige Android-Malware-Kampagne mit rund 250 manipulierten Apps wurde ebenfalls aufgedeckt. Die Apps buchten heimlich Premium-Dienste, indem sie Einmalpasswörter abfingen und die WLAN-Verbindung deaktivierten.
KI findet Schwachstellen zehnmal schneller als Menschen
Die Sicherheitslandschaft verändert sich grundlegend durch den Einsatz Künstlicher Intelligenz. Anthropics Project Glasswing, basierend auf dem Claude Mythos Preview, hat seit dem 7. April 2026 über 10.000 kritische Software-Schwachstellen identifiziert. Darunter ein 27 Jahre alter Bug in OpenBSD und ein 16 Jahre alter Fehler in FFmpeg.
Doch die Abwehr hinkt hinterher: Von den tausenden gefundenen Lücken in Open-Source-Projekten waren bis Ende Mai weniger als 100 gepatcht. Die Entdeckungsrate liegt inzwischen etwa zehnmal höher als bei manuellen Methoden – eine gefährliche Übergangsphase, in der Angreifer schneller zuschlagen können als Entwickler reagieren.
Im npm-Ökosystem gelang es Angreifern zudem, Sigstore-Vertrauensprüfungen zu umgehen, indem sie kompromittierte Maintainer-Konten in legitimen CI/CD-Pipelines nutzten.
Ausblick: Unternehmen müssen umdenken
Die Kombination aus Supply-Chain-Angriffen und KI-beschleunigter Schwachstellensuche zwingt Unternehmen zu einer Neubewertung ihrer Sicherheitsstrategien. Immer mehr Organisationen setzen auf Zero-Trust-Modelle auf Code-Ebene und fordern hardwaregestützte Multi-Faktor-Authentifizierung statt veralteter SMS-Verfahren.
Microsoft ging zuletzt gegen Dienste wie „Fox Tempest“ vor, die gestohlene Code-Signatur-Zertifikate an Ransomware-Gruppen lieferten. Ein Zeichen für einen härteren Kurs beim Schutz der Software-Integrität.
GitHubs angekündigte Sicherheits-Roadmap und 100 Millionen US-Dollar an Compute-Credits von Anthropic für Partner zur Schwachstellenbehebung sind erste Schritte. Doch die Bedrohung bleibt akut: Allein im April wurden über 200 schädliche Domains im Umfeld der FIFA-Weltmeisterschaft 2026 entdeckt – ein Vorgeschmack auf das, was kommt.
