Betroffen sind vor allem Anthropics Claude Code und OpenAIs Codex. Die Angreifer setzen auf eine Kombination aus gefälschten Webseiten und Lieferketten-Angriffen, um an sensible Entwickler-Zugangsdaten zu gelangen und sich dauerhaft auf professionellen Arbeitsrechnern festzusetzen.
Ob Passwörter, E-Mail-Zugänge oder sensible Firmendaten – wer seine digitalen Konten nur mit klassischen Passwörtern schützt, geht heute ein massives Sicherheitsrisiko ein. Ein kostenloser Report zeigt, wie Sie mit der neuen Passkey-Technologie Ihre Accounts bei Amazon, WhatsApp und Co. endlich hacker-sicher machen. Sicher, bequem und passwortlos: Jetzt Gratis-Report sichern
ClickFix-Kampagne: Gefälschte Download-Seiten
Eine als ClickFix identifizierte Kampagne nutzt Google Sites, um täuschend echte Nachbauten der offiziellen Download-Portale für Claude Code und OpenAI Codex zu hosten. Die Opfer werden aufgefordert, einen bestimmten Befehl zur Installation der Software auszuführen.
Was dann geschieht, ist ein mehrstufiger Angriff: Über einen mshta-Befehl wird eine komplexe PowerShell-Sequenz gestartet. Um klassische Sicherheitssoftware auszutricksen, verstecken die Angreifer die Schadsoftware mithilfe von Steganografie in Bilddateien. Der Schadcode läuft anschließend vollständig im Arbeitsspeicher – und bleibt so oft unentdeckt.
Die Ziele der Malware sind klar definiert: Sie will im Browser gespeicherte Passwörter, E-Mail-Zugangsdaten und Informationen aus Kryptowährungs-Wallets stehlen. Eine der identifizierten schädlichen Adressen lautet sites.google.com/view/clau-ver-un-24.
Miasma: Schädlinge in der Lieferkette
Doch die Gefahr für Claude-Nutzer beschränkt sich nicht auf gefälschte Installer. Anfang der Woche traf ein als Miasma bezeichneter Angriff das npm-Ökosystem von Red Hat. Sicherheitsforscher entdeckten, dass mindestens 32 Pakete aus dem @redhat-cloud-services-Bereich über eine kompromittierte GitHub-Actions-Pipeline mit Hintertüren versehen wurden.
Der Schädling erreichte rund 80.000 wöchentliche Downloads, bevor er am Nachmittag des 1. Juni gestoppt wurde. Seine Aufgabe: das Stehlen von Cloud-Identitäts-Tokens und SSH-Schlüsseln. Besonders perfide: Die Angreifer manipulierten auch die Einstellungen von VS Code und Claude Code, um sich dauerhaft Zugriff zu sichern – selbst nachdem die kompromittierten Pakete bereits entfernt wurden.
Moderne Cyberangriffe nutzen oft versteckte Sicherheitslücken in der Software-Infrastruktur, gegen die herkömmliche Antiviren-Programme machtlos sind. Dieser kostenlose Experten-Report hilft Ihnen dabei, Ihren Windows-PC effektiv abzusichern und Spionage-Software keine Chance zu geben. Anti-Virus-Paket jetzt kostenlos herunterladen
Wenn KI-Agenten blind vertrauen
Ein weiteres Sicherheitsproblem liegt in der Architektur der KI-Codierungs-Agenten selbst. Forscher beobachteten, dass diese Systeme oft nicht zwischen funktionalen Anweisungen und Dokumentation unterscheiden können.
Böswillige Akteure können dies ausnutzen, indem sie versteckte Anweisungen in README-Dateien oder TypeScript-Deklarationen platzieren. Verarbeitet ein KI-Agent solche Dateien, lässt er sich möglicherweise zu unbefugten Aktionen manipulieren – etwa zum Abgreifen von Umgebungsvariablen oder sensiblen Konfigurationsdaten.
Anthropic erweitert Abwehr: Claude Mythos im Einsatz
Angesichts dieser Bedrohungen hat Anthropic seine Verteidigungsfähigkeiten ausgebaut. Das Unternehmen weitete sein Project Glasswing – basierend auf dem Claude-Mythos-Modell – auf 150 Organisationen in über 15 Ländern aus.
Erste Tests bei Partnern wie Cloudflare förderten über 10.000 schwerwiegende Sicherheitslücken zutage. Das Modell wird zur Infrastruktur-Verteidigung eingesetzt und kann erkennen, wie mehrere mittelschwere Schwachstellen zu einem kritischen Exploit kombiniert werden können.
Doch während Anthropic die Abwehr ausbaut, warnen Branchenkenner vor der rasanten Entwicklung offensiver KI-Fähigkeiten. Forscher der Universität Toronto demonstrierten kürzlich einen Proof-of-Concept für einen autonomen Wurm, der sich mithilfe eines frei verfügbaren Sprachmodells durch 73,8 Prozent eines Testnetzwerks fraß – indem er ungepatchte Sicherheitslücken identifizierte und ausnutzte.
