Am 19. Mai 2024 veröffentlichte ein Bedrohungsakteur 633 manipulierte Versionen von npm-Paketen, die trotz automatisierter Herkunftsprüfung mit Sigstore-Signaturen eingeschleust wurden. Die Zertifikate waren technisch korrekt, stammten jedoch von einem kompromittierten Maintainer-Konto.
Das System funktionierte wie vorgesehen: Es bestätigte die Herkunft aus einer CI-Umgebung, prüfte die Gültigkeit der Signatur und protokollierte die Transaktion in einem Transparenz-Log. Doch die eigentliche Schwachstelle lag woanders – in der fehlenden Überprüfung, ob die ausgegebene Berechtigung tatsächlich durch den berechtigten Nutzer autorisiert wurde.
Wie gestohlene Credentials Angriffe tarnten
Nur einen Tag zuvor dokumentierte das Sicherheitsteam von StepSecurity einen ähnlichen Vorfall: Die VS Code-Erweiterung Nx Console, genutzt von über 2,2 Millionen Entwicklern, wurde am 18. Mai 2024 mit gestohlenen Zugangsdaten veröffentlicht. Version 18.95.0 blieb weniger als 40 Minuten online, doch interne Telemetrie zeigte rund 6.000 Aktivierungen – größtenteils durch automatische Updates. Lediglich 28 offizielle Downloads wurden registriert.
Die Schadsoftware sammelte sensible Daten wie Claude-Code-Konfigurationen, AWS-Schlüssel, GitHub-Tokens, npm-Anmeldedaten, 1Password-Vault-Inhalte und Kubernetes-Service-Account-Tokens. Die Angriffe erfolgten im Rahmen der sogenannten Mini Shai-Hulud-Kampagne, die Forscher der TeamPCP zuschreiben – einer finanziell motivierten Gruppe.
Die Ausbreitung des Schadcodes im npm-Ökosystem
Endor Labs entdeckte den ersten Angriff um 01:39 UTC am 19. Mai 2024, als zwei seit Jahren inaktive Pakete – jest-canvas-mock und size-sensor – plötzlich aktualisiert wurden. Die neuen Versionen enthielten ein obfuskiertes 498 KB großes Bun-Skript mit Abhängigkeiten zu GitHub-Commit-Hashes. Da die Pakete zuvor jahrelang unverändert blieben, war dieser plötzliche Versionssprung ein klares Warnsignal – vorausgesetzt, die Überwachungstools waren entsprechend konfiguriert.
Bis 02:06 UTC hatte sich der Schadcode bereits im @antv-Datenvisualisierungs-Ökosystem und Dutzenden unscopten Paketen verbreitet, darunter echarts-for-react mit rund 1,1 Millionen wöchentlichen Downloads. Das Sicherheitsteam von Socket zählte insgesamt 639 kompromittierte Versionen in 323 einzigartigen Paketen allein in dieser Welle. Über den gesamten Kampagnenverlauf hinweg wurden 1.055 schädliche Versionen in 502 Paketen auf npm, PyPI und Composer identifiziert.
Besonders brisant: Die Angreifer integrierten Sigstore-Provenance-Attestierungen in die manipulierten Pakete. Dadurch erschien die Herkunft der Software auf den ersten Blick vertrauenswürdig, obwohl die Pakete von unautorisierten Quellen stammten.
Vier kritische Schwachstellen in KI-Coding-Tools
Unabhängige Untersuchungen von Endor Labs, Socket, StepSecurity, Adversa AI, Johns Hopkins, Microsoft MSRC und LayerX belegen: Das etablierte Vertrauensmodell für Entwicklertools ist an mehreren Stellen durchbrochen. Sieben Angriffspunkte scheiterten innerhalb von 48 Stunden zwischen dem 18. und 19. Mai 2024:
- Fälschung von npm-Provenance-Nachweisen
- Diebstahl von VS Code-Erweiterungs-Credentials
- Automatische Ausführung von MCP-Servern
- Prompt-Injection in CI/CD-Agenten
- Code-Execution in KI-Agenten-Frameworks
- Exposition von IDE-Credential-Speicherungen
- Schatten-KI-Datendiebstahl
MCP-Server als Einfallstor für RCE-Angriffe
Adversa AI veröffentlichte am 7. Mai 2024 eine Sicherheitslücke namens TrustFall, die zeigt, wie Claude Code, Gemini CLI, Cursor CLI und Copilot CLI projektdefinierte MCP-Server automatisch ausführen, sobald ein Entwickler einen Ordner als vertrauenswürdig markiert. Die Standardantwort in allen vier Tools lautet „Ja“ oder „Vertrauen“ – ein einziger Tastendruck reicht aus, um einen unsandboxten Prozess mit vollen Systemrechten zu starten.
Diese MCP-Server können gespeicherte Secrets, Quellcode anderer Projekte und sensible Daten abgreifen. In CI-Umgebungen mit Claude Code GitHub Actions im Headless-Modus wird der Vertrauensdialog gar nicht erst angezeigt – der Angriff läuft vollständig automatisiert ab.
Pull Requests als Waffe gegen KI-Agenten
Forscher der Johns Hopkins University – Aonan Guan, Zhengyu Liu und Gavin Zhong – demonstrierten in ihrer Studie „Comment and Control“, wie eine bösartige Anweisung im Titel eines GitHub-Pull-Requests dazu führte, dass Claude Code Security Review seine eigene API-Schlüssel als Kommentar postete. Der gleiche Angriff funktionierte mit Google’s Gemini CLI Action und GitHub’s Copilot Agent. Anthropic bewertete die Lücke mit CVSS 9.4 (Kritisch).
Ausführbare Vektordatenbanken in Semantic Kernel
Microsoft MSRC veröffentlichte am 7. Mai 2024 zwei kritische Schwachstellen im Semantic Kernel-Framework:
- Eine ermöglicht die Ausführung von Python-Code durch manipulierte Vektordatenbank-Felder.
- Die andere erlaubt den Download und die Ausführung von Dateien direkt über Kernel-Funktionen – ein einziges infiziertes Dokument in einer Vektordatenbank reicht aus, um einen Prozess auf dem Host-System zu starten.
Cursor speichert API-Schlüssel ungeschützt
Die Sicherheitsforscher von LayerX zeigten, dass Cursor API-Schlüssel und Session-Tokens in ungeschützten Speicherbereichen ablegt. Selbst Browser-Erweiterungen ohne erhöhte Berechtigungen können auf diese Daten zugreifen.
Schatten-KI als Treiber für neue Angriffsvektoren
Der Verizon Data Breach Investigations Report 2026 vom 19. Mai 2024 enthüllt, dass 67 % der Mitarbeiter KI-Dienste über nicht-unternehmensweite Konten auf Firmengeräten nutzen. Schatten-KI zählt damit zu den häufigsten unabsichtlichen Sicherheitsrisiken. Quellcode ist die am häufigsten an unautorisierte KI-Plattformen übermittelte Datengattung – exakt die Ressource, die die npm-Kampagne gezielt ausbeutete.
Laut dem CrowdStrike Financial Services Threat Landscape Report 2026 verdoppelten Bedrohungsakteure ihre Operationen, um gestohlene Credentials für KI-basierte Angriffe zu monetarisieren. Die Kombination aus automatisierten Signaturprüfungen, unsicheren KI-Agenten und Schatten-KI schafft ein perfektes Ökosystem für künftige Attacken.
Die jüngsten Vorfälle zeigen: Vertrauen in automatisierte Prüfmechanismen reicht nicht aus. Entwickler müssen manuelle Überprüfungsprozesse, Multi-Faktor-Authentifizierung und strikte Isolierung von KI-Agenten priorisieren, um ihre Lieferketten zu schützen.
KI-Zusammenfassung
npm’de imzalı paketlerin nasıl saldırı aracı haline geldiğini ve geliştirici hesaplarının korunmasındaki kritik boşlukları keşfedin. AI destekli araçların güvenlik riskleri ve önerilen çözümler.
