Axios-Angriff löst globale Software-Krise aus

Die weltweite Software-Infrastruktur steht nach einer Serie gezielter Angriffe auf zentrale Open-Source-Bausteine unter Schock. Nordkoreanische Hacker und automatisierte Cyberbanden haben in dieser Woche das Vertrauensmodell der modernen Entwicklung untergraben und Millionen Unternehmenssysteme gefährdet.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheit für Unternehmen proaktiv stärken

Nordkoreas Lazarus-Gruppe infiziert Millionen Systeme

Am 31. März 2026 entdeckten Sicherheitsforscher zwei bösartige Versionen der JavaScript-Bibliothek Axios. Mit über 83 Millionen wöchentlichen Downloads ist sie in etwa 80 Prozent aller Cloud-Umgebungen präsent. Die Angreifer, die von Microsoft der nordkoreanischen Lazarus-Gruppe zugeschrieben werden, nutzten gekaperte Maintainer-Konten, um die Versionen 1.14.1 und 0.30.4 zu veröffentlichen.

Das eingeschleuste Schadprogramm erkennt das Betriebssystem des infizierten Rechners – ob Windows, macOS oder Linux – und installiert einen maßgeschneiderten Fernzugriffstrojaner. Da Axios in vielen Unternehmenspipelines automatisch aktualisiert wird, verbreitete sich der schädliche Code innerhalb weniger Stunden in Tausenden Produktivsystemen. Die bösartigen Versionen waren zwar nur kurz online, doch die Automatisierung moderner Softwareverteilung machte die Wirkung sofort und flächendeckend spürbar.

TeamPCP: Eine Lawine gestohlener Zugangsdaten

Parallel zum gezielten Spionageangriff auf Axios rollt seit Mitte März eine ebenso verheerende Kampagne der Gruppe TeamPCP. Diese erreichte diese Woche einen kritischen Höhepunkt mit einem Kaskadeneffekt: Gestohlene Zugangsdaten aus einem Open-Source-Projekt wurden genutzt, um das nächste zu vergiften.

Die Sequenz begann mit einem Kompromittierung von Trivy, einem populären Schwachstellenscanner des Anbieters Aqua Security. Durch die Übernahme von GitHub-Actions-Tags und Docker-Hub-Images erbeutete TeamPCP eine gewaltige Menge an Cloud-Tokens, SSH-Schlüsseln und Registry-Zugangsdaten. Diese gestohlenen Geheimnisse nutzten die Angreifer, um weitere Hochrisikoprojekte zu brechen – darunter den Infrastructure-as-Code-Scanner Checkmarx KICS und LiteLLM, eine wichtige Python-Bibliothek als Proxy für große Sprachmodelle.

Red Hat warnte am 1. April 2026 besonders vor der LiteLLM-Kompromittierung. Die bösartigen Versionen 1.82.7 und 1.82.8 auf dem Python Package Index (PyPI) können sensible KI-Modellkonfigurationen und API-Schlüssel abgreifen. Experten sehen darin ein alarmierendes Signal: Selbst sicherheitsfokussierte Tools werden zum Einfallstor, wenn ihre eigenen Lieferketten nicht rigoros geschützt sind.

Automatisierte Würmer nutzen Blockchain als Steuerzentrale

Die letzten 72 Stunden brachten zudem vermehrte Meldungen über „CanisterWorm“, eine sich selbst verbreitende Malware, die über 66 npm-Pakete infiziert hat. Der Clou: Statt zentraler Command-and-Control-Server nutzt der Wurm die Internet-Computer-Blockchain als dezentrale, „unangreifbare“ Ablage für Befehle und gestohlene Daten.

Diese Entwicklung folgt auf die „Shai-Hulud“-Kampagne Ende 2025. Kaspersky-Analysten meldem am 2. April 2026 einen massiven Anstieg bösartiger Pakete in öffentlichen Registries – über 450.000 Fälle wurden 2025 und Anfang 2026 identifiziert. Diese automatisierten Angriffe nutzen oft „Typosquatting“ oder „Dependency Confusion“, um Build-Systeme zum Herunterladen schädlichen Codes zu verleiten.

Mit „GlassWorm“ kommt eine neue technische Komplexitätsebene hinzu: Die Malware nutzt unsichtbare Unicode-Zeichen, um schädliche Nutzlasten in legitim aussehendem Quellcode zu verstecken. Sicherheitsfirmen warnen, dass diese automatisierten Tools inzwischen in Maschinengeschwindigkeit schädlichen Code schreiben und ausliefern – weit schneller, als menschliche Maintainer Pull-Requests oder Abhängigkeitsupdates manuell prüfen könnten.

Rekord-Schäden durch Phishing und gezielte Manipulation zeigen, warum immer mehr Unternehmen jetzt auf professionelle Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Tricks und Hacker-Angriffe schützen kann. Gratis Anti-Phishing-Paket für Unternehmen anfordern

Branche unter Schock: Ruf nach Zero Trust wird lauter

Die kumulative Wirkung dieser Angriffe hat die Tech-Branche erschüttert. Der im Februar veröffentlichte Open Source Security and Risk Analysis (OSSRA)-Report 2026, der diese Woche in Dringlichkeitsbriefings zitiert wurde, kommt zu erschreckenden Zahlen: 65 Prozent der Organisationen erlitten im vergangenen Jahr einen Software-Lieferkettenangriff. In 87 Prozent der auditierten Codebasen fand sich mindestens eine Schwachstelle, fast die Hälfte davon als hochriskant eingestuft.

Als Reaktion auf die Axios- und TeamPCP-Vorfälle hat die US-Cybersicherheitsbehörde CISA diese Woche mehrere neue Einträge in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen. Dazu gehört CVE-2026-5281, eine kritische Use-After-Free-Schwachstelle in der Open-Source-Implementierung Google Dawn. CISA hat Bundesbehörden angewiesen, notwendige Gegenmaßnahmen bis zum 15. April 2026 umzusetzen, und drängt private Unternehmen nachzuziehen.

Branchenanalysten sprechen von einem „fundamentalen Reset“ für die Open-Source-Sicherheit. Der Konsens wächst: Die Industrie muss weg vom „impliziten Vertrauen“ in öffentliche Registries hin zu einer Zero-Trust-Architektur für CI/CD-Pipelines. Dazu gehören „hermetische Builds“, bei denen alle Abhängigkeiten auf spezifische kryptografische Hashes festgepinnt und in isolierten Umgebungen ohne Internetzugang gebaut werden.

Ausblick: Strengere Standards für digitale Herkunftsnachweise

Die Ereignisse Anfang April 2026 dürften die Einführung strenger Standards für digitale Herkunftsnachweise beschleunigen. Organisationen setzen zunehmend auf Lösungen, die einen verifizierten Software Bill of Materials (SBOM) für jede Phase des Build-Prozesses liefern. Wichtige Technologiezentren in den USA und Europa diskutieren bereits mögliche gesetzliche Rahmenwerke, die Softwareanbieter stärker für die Sicherheit der von ihnen integrierten Open-Source-Komponenten haftbar machen.

Bis zur CISA-Frist am 15. April bleibt die unmittelbare Priorität bei der Schadensbegrenzung. Sicherheitsexperten empfehlen jedem Unternehmen, das Axios, Trivy oder LiteLLM nutzt, sofort seine Umgebungen auf die kompromittierten Versionen zu überprüfen und alle in CI/CD-Logs möglicherweise offengelegten Geheimnisse zu erneuern. Langfristig wird der Fokus sich von reaktiven Patches auf die strukturelle Absicherung des Open-Source-Ökosystems verlagern – in einer Bedrohungslage, in der Angreifer die globale Lieferkette innerhalb von Tagen lahmlegen können.

boerse | 69060214 |