Sicherheitsforscher haben in den vergangenen Wochen eine Serie hochkoordinierter Cyberangriffe auf Softwareentwickler identifiziert. Die Kampagnen, die sowohl staatlich gesteuerten Akteuren als auch organisierten Kriminellen zugeschrieben werden, nutzen die wachsende Abhängigkeit von KI-gestützten Programmierassistenten aus. Ziel der Angriffe: der Diebstahl von Zugangsdaten, Cloud-Schlüsseln und Kryptowährungen.
Miasma-Wurm legt Microsoft-Repositories lahm
Anfang Juni 2026 gelang einer neuen Variante des Shai-Hulud-Wurms, genannt Miasma, der Einbruch in Dutzende Projekte. Am 5. Juni infizierte der Wurm 73 Microsoft GitHub-Repositories und legte mehrere Azure-Funktionen vorübergehend lahm. Die Sicherheitssysteme von GitHub reagierten innerhalb von 105 Sekunden und sperrten die betroffenen Projekte.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Cyber-Security-Leitfaden jetzt anfordern
Der Miasma-Wurm markiert eine deutliche Eskalation von Lieferkettenangriffen. Laut Forschungsergebnissen von Morphisec wurde die Schadsoftware über 57 npm-Pakete verbreitet – in weniger als zwei Stunden erschienen 286 verschiedene Versionen. Besonders betroffen: prominente Pakete wie @vapi-ai/server-sdk mit über 408.000 monatlichen Downloads und ai-sdk-ollama.
Der Wurm zielt gezielt auf Konfigurationen von KI-Programmierassistenten ab. Er schleust sich in Dateien ein, die mit Claude, Cursor und VS Code verbunden sind. Dabei nutzt er manipulierte Dateien, um die Standard-Installationsüberwachung zu umgehen, und gibt sich durch gültige Sigstore-Herkunftsnachweise als legitim aus. Nach der Installation verharrt der Wurm 48 Stunden inaktiv, um Sandbox-Erkennung zu vermeiden – dann versucht er, Zugangsdaten für AWS, Azure, Google Cloud Platform (GCP) und verschiedene Passwortmanager zu stehlen.
UNK_DeadDrop: Nordkoreanische Phishing-Welle gegen Entwickler
Parallel zu den Wurm-Ausbrüchen führte eine als UNK_DeadDrop bezeichnete Bedrohungsgruppe eine umfangreiche Phishing-Kampagne durch. Die Gruppe, die mutmaßlich nordkoreanischen Interessen folgt, verschickte zwischen April und Mai 2026 über 250 Phishing-Mails an Entwickler von fast 100 Unternehmen aus Technologie, Finanzwesen und Bildung.
Die Angreifer lockten ihre Opfer mit gefälschten Jobangeboten und angeblichen Code-Review-Anfragen. Die Mails verwiesen auf schädliche GitHub- oder GitLab-Repositories, die versteckte Konfigurationsdateien enthielten. Öffnete ein Entwickler diese Repositories in Editoren wie VS Code oder Cursor, führte eine versteckte Task-Datei eine Schadsoftware aus, die Browserdaten und Kryptowährungs-Wallets wie MetaMask, Phantom und Exodus abgriff. Die Kampagne funktionierte plattformübergreifend auf Windows, macOS und Linux.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur Hacker-Abwehr – Gratis-Download
Sicherheitslücken in KI-gestützten Entwicklungsumgebungen
Aktuelle Erkenntnisse von Mitiga Labs offenbaren zudem architektonische Risiken in KI-nativen Entwicklungstools. Forscher entdeckten einen Man-in-the-Middle-Angriffsvektor in Claude Code. In diesem Szenario kann ein bösartiges npm-Paket lokale Konfigurationsdateien so verändern, dass der Datenverkehr des Model Context Protocol (MCP) über einen vom Angreifer kontrollierten Proxy umgeleitet wird.
Diese Manipulation erlaubt es Angreifern, OAuth-Tokens für verbundene SaaS-Plattformen wie Jira und GitHub abzugreifen. Da die Tokens über den kompromittierten Pfad erneuert werden können, bleibt den Angreifern ein dauerhafter Zugriff auf die Entwicklungsumgebung erhalten.
Eskalation: Von Telefonbetrug bis zu physischen Einbrüchen
Die Bedrohungslage für professionelle Dienstleister hat sich weiter diversifiziert. Die Gruppe UNC3753, auch bekannt als Silent Ransom Group, zielte zwischen Januar und Mai 2026 auf US-amerikanische Anwaltskanzleien und Finanzdienstleister ab – mit einer Kombination aus Vishing (Telefon-Phishing) und physischen Eindringlingen.
Die Gruppe kontaktiert ihre Opfer zunächst mit einer harmlos wirkenden Rechnungs-Mail, bevor sie sich telefonisch als IT-Support ausgibt und die Installation von Fernwartungstools fordert. Das FBI berichtet sogar von Fällen, in denen sich Angreifer als Techniker ausgaben, um persönlich schädliche USB-Sticks in Bürocomputer einzustecken. Die Angriffe zielen auf vertrauliche Mandantendaten und Mitarbeiterinformationen ab, gefolgt von Erpressungsforderungen mit einer Dreitagefrist.
KI-generierte Zero-Day-Exploits: Neue Dimension der Bedrohung
In einer weiteren besorgniserregenden Entwicklung bestätigte Googles Threat Intelligence Group im Mai 2026 die Entdeckung des ersten KI-generierten Zero-Day-Exploits. Der Exploit zielte auf eine quelloffene Web-Management-Plattform ab. Dies signalisiert ein wachsendes Interesse staatlicher Akteure daran, künstliche Intelligenz zur automatisierten Erstellung hochentwickelter Cyberwaffen einzusetzen.
