Supply-Chain-Angriffe, Vorjahr

Supply-Chain-Angriffe Juli 2026: Doppelt so viele wie im Vorjahr

02.07.2026 - 11:11:17 | boerse-global.de

Angreifer locken Penetrationstester mit gefÀlschten Exploit-Codes auf GitHub und infizieren Systeme mit dem RAT ChocoPoC.

ChocoPoC-Trojaner: Malware-Kampagne zielt auf Sicherheitsforscher
Supply-Chain-Angriffe - Nahaufnahme von leuchtend grĂŒnem Python-Code auf dunklem Bildschirm, mit abstrakten BinĂ€rdaten im Hintergrund, die versteckte Malware symbolisieren. 02.07.2026 - Bild: ĂŒber boerse-global.de

Die Angreifer nutzen manipulierte Python-Pakete und gefÀlschte Exploit-Codes, um einen Remote Access Trojan (RAT) namens ChocoPoC zu verbreiten.

Die Infektionskette: Wie ChocoPoC Forscher ködert

Sicherheitsfirmen wie Sekoia und YesWeHack haben die Kampagne im Detail analysiert. Die TĂ€ter nutzen kompromittierte Entwicklerkonten, um mindestens sieben GitHub-Repositories zu hosten. Diese geben vor, Proof-of-Concept-Exploits fĂŒr verschiedene kritische SicherheitslĂŒcken (CVEs) anzubieten.

Die hinterlegten Repositorys enthalten Code, der die Installation schĂ€dlicher Python-Pakete aus dem Python Package Index (PyPI) auslöst. Besonders die Pakete „frint" und „skytext" dienen als Einfallstore fĂŒr den Trojaner. Einmal installiert, setzt die Malware auf ausgeklĂŒgelte Tarnung: Sie nutzt Environmental Key Gating, Anti-Debugging-Techniken und Timestomping, um der Erkennung zu entgehen.

Das Paket „skytext" wurde rund 2.400 Mal heruntergeladen. Die meisten Infektionen ereigneten sich auf Linux-Systemen. Der Trojaner sichert sich dauerhaften Zugriff und stiehlt sensible Daten – darunter Browser-Zugangsdaten und Entwicklerumgebungen. FĂŒr die Kommunikation mit den Angreifern nutzt die Malware Mapbox-DatensĂ€tze.

Zielgerichtete Schwachstellen und frĂŒhere AktivitĂ€ten

Die Kampagne lockt Forscher mit vermeintlichen Exploit-Codes fĂŒr mehrere spezifische SicherheitslĂŒcken. Dazu gehören unter anderem CVE-2025-64446, CVE-2025-55182 und CVE-2026-48908.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklĂ€ren im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spĂ€t ist. Experten-Checkliste jetzt kostenlos anfordern

Ermittler gehen davon aus, dass die Kampagne bereits seit Ende 2025 aktiv ist. FrĂŒhere Versionen des Angriffs nutzten andere bösartige PyPI-Pakete wie „slogsec" und „logcrypt.cryptography". Die Malware kann beliebige Shell-Befehle ausfĂŒhren und Dateien von infizierten Rechnern in die Infrastruktur der Angreifer hochladen.

Angriffswelle auf die Lieferkette: Open Source im Visier

Die Entdeckung von ChocoPoC fĂ€llt in eine Serie weiterer hochkarĂ€tiger Supply-Chain-Angriffe Anfang Juli 2026. Microsoft warnte vor einer Kompromittierung des Mistral AI Python-Pakets (Version 2.4.6). Dieser Vorfall ist Teil der „Shai-Hulud"-Kampagne, die Berichten zufolge mehr als 170 Pakete betrifft. Die Malware im Mistral-Paket stiehlt Zugangsdaten – umgeht dabei aber gezielt Systeme in Russland und löscht Dateien auf Rechnern in Israel oder im Iran.

Parallel dazu entdeckten Forscher eine Kampagne, die mit nordkoreanischen Angreifern in Verbindung gebracht wird: „Contagious Trader". Dabei verteilten die TĂ€ter 30 schĂ€dliche npm-Pakete ĂŒber gefĂ€lschte Polymarket-Arbitrage-Bots auf GitHub. Ein Paket namens „clob-client-math" stahl Krypto-Wallet-Keys, AWS-Zugangsdaten und SSH-SchlĂŒssel von mindestens 53 Entwicklern.

Anzeige

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klĂ€rt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen mĂŒssen. Kostenlosen Cyber-Security-Report herunterladen

Die Rolle der KI: Wenn Bots blind vertrauen

Aktuelle Berichte unterstreichen die wachsende Bedeutung von KI-Coding-Agenten fĂŒr SicherheitslĂŒcken in der Lieferkette. Branchenanalysten verzeichnen fĂŒr das erste Halbjahr 2026 mehr als doppelt so viele solcher Kampagnen wie im Vorjahr. Die KI-Agenten ĂŒberspringen hĂ€ufig die PaketĂŒberprĂŒfung – und machen sich damit angreifbar fĂŒr „Slopsquatting". Bei dieser technique nutzen Angreifer KI-Halluzinationen aus, um Entwicklern nicht existierende oder schĂ€dliche AbhĂ€ngigkeiten vorzuschlagen.

de | wissenschaft | 69671334 |