Kritische Sicherheitslücken in JavaScript-Bibliotheken und SDKs bedrohen Millionen

Sicherheitsforscher warnen vor einer neuen Angriffswelle auf die Software-Lieferkette. Gleich mehrere kritische Schwachstellen in weit verbreiteten JavaScript-Bibliotheken und Entwickler-Kits gefährden Millionen von Nutzern und Entwicklern weltweit. Die Angriffe zielen gezielt auf die Infrastruktur hinter den Anwendungen ab, um traditionelle Sicherheitsbarrieren zu umgehen.

Millionen Android-Nutzer sind täglich Hackern schutzlos ausgeliefert, da veraltete Software wie eine offene Haustür für Cyberkriminelle wirkt. Dieser kostenlose Report zeigt Ihnen, wie Sie mit den richtigen Updates Datenverlust und Malware auf Ihrem Smartphone dauerhaft verhindern. 5 einfache Schritte für ein sicheres Android-Smartphone

Axios-Schwachstelle bedroht AWS-Clouds

Eine besonders kritische Lücke wurde in Axios entdeckt, einer der populärsten JavaScript-Bibliotheken für HTTP-Anfragen mit über 50 Millionen wöchentlichen Downloads. Die Schwachstelle CVE-2026-40175 mit dem höchsten CVSS-Risikowert von 9,9 kombiniert Prototyp-Pollution mit einer CRLF-Header-Injection.

Der Angriff nutzt aus, dass Axios tief in viele Cloud-native Anwendungen integriert ist. Über manipulierte Header können Angreifer Anfragen an den Amazon Web Services (AWS) Instance Metadata Service einschleusen. Das gefährliche Ziel: der Diebstahl von AWS-Zugangsdaten (IAM-Credentials), die dann den unautorisierten Zugriff auf sensible Cloud-Umgebungen ermöglichen. Entwickler müssen dringend auf Version 1.15.0 updaten, um das Risiko zu entschärfen.

Mobile SDKs: Gefahr für Krypto-Wallets und mehr

Die Bedrohung beschränkt sich nicht auf Web-Entwicklung. Microsoft deckte eine schwerwiegende "Intent Redirection"-Schwachstelle im EngageLab Android Push Notification SDK auf. Die Lücke in Version 4.5.4 erlaubte es schädlichen Apps, die Android-Sandbox zu umgehen.

Über 50 Millionen Nutzer waren potenziell gefährdet – darunter allein mehr als 30 Millionen Installationen von Kryptowährungs-Wallet-Apps. Obwohl EngageLab bereits im November 2025 einen Patch (v5.2.1) bereitstellte, zeigt der Fall das langfristige Risiko veralteter Drittanbieter-SDKs.

Ebenfalls kritisch: Die Bibliothek Marimo schloss eine Lücke (CVE-2026-39987, CVSS 9.3), die unauthentifizierte Remote-Code-Ausführung erlaubte. Besorgniserregend: Erste Ausnutzungen in der Wildnis wurden weniger als zehn Stunden nach der Veröffentlichung des Advisories gemeldet.

Entwickler-Tools im Visier: Böswillige IDE-Erweiterungen

Angreifer verschärfen ihr Vorgehen und zielen nun direkt auf die Werkzeuge der Entwickler ab. Die Kampagne GlassWorm infiziert Integrierte Entwicklungsumgebungen (IDEs) wie Visual Studio Code mit schädlichen Erweiterungen.

Angesichts von Millionen gehackter Konten pro Quartal warnen Experten davor, dass herkömmliche Passwörter ein unnötiges Risiko für Ihre digitale Sicherheit darstellen. Erfahren Sie in diesem Gratis-Ratgeber, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. endlich hacker-sicher machen. Kostenlosen Report zur passwortlosen Anmeldung sichern

Eine gefälschte Erweiterung tarnte sich als legitimes WakaTime-Tool. Nach der Installation sucht sie nach allen IDEs auf dem System und lädt eine zweite, noch gefährlichere Payload nach. Diese kann sensible Daten abgreifen, Fernzugriffstrojaner installieren oder Browser-Erweiterungen zum Ausspähen platzieren.

Auffällig: Die Kampagne vermeidet die Ausführung auf Systemen in Russland und nutzt die Solana-Blockchain für ihre Command-and-Control-Infrastruktur. Der Trend ist klar: Angreifer fokussieren sich zunehmend auf Kontrollebenen wie CI/CD-Pipelines, um mit einem Schlag die gesamte Software-Entwicklung zu kompromittieren.

KI revolutioniert die Schwachstellen-Suche – zum Guten und Schlechten

Die Entdeckung dieser Lücken fällt in eine Zeit des Umbruchs. Fortschrittliche KI-Modelle wie Claude Mythos von Anthropic verändern fundamental, wie Schwachstellen gefunden und ausgenutzt werden.

Bei Treffen im April 2026 diskutierten US-Finanzminister Scott Bessent und Fed-Chef Jerome Powell mit CEOs großer Banken die systemischen Risiken KI-gestützter Cyber-Bedrohungen. Experten warnen: KI kann jahrzehntealte Lücken in Grundlagen-Software finden und mehrere kleine Schwachstellen zu einer root-Zugriffskette verknüpfen.

Eine Studie von Salt Security unter 300 Sicherheitsverantwortlichen offenbart eine gefährliche Lücke: 92% der Unternehmen sind nicht auf die API-Sicherheitsanforderungen von KI-Agents vorbereitet. Fast die Hälfte verzögert Software-Releases aufgrund von API-Sicherheitsbedenken. Alarmierend: 99% der aktuellen Angriffe stammen von authentifizierten Quellen und nutzen oft Konfigurationsfehler, nicht Software-Bugs.

Ausblick: Neue Sicherheitsstrategien nötig

Die Häufung kritischer Lücken in allgegenwärtigen Bibliotheken zeigt: Traditionelle Sicherheitsgrenzen reichen nicht mehr. Analysten empfehlen einen Paradigmenwechsel hin zu "Assume RCE"-Design-Prinzipien und automatisierten API-Inventar-Tools.

Kurzfristig erwarten Forscher einen Anstieg gemeldeter CVEs, da sowohl Verteidiger als auch Angreifer KI für das massenhafte Scannen von Code nutzen. In den nächsten 12 bis 18 Monaten wird der Übergang zu dynamischen Sicherheitstools erwartet, die Exploits in Echtzeit erkennen.

Bis dahin bleibt die beste Verteidigung: schnelles Rotieren von Zugangsdaten, strikte Multi-Faktor-Authentifizierung (MFA) und rigoroses Auditing von Drittanbieter-Code und Entwickler-Erweiterungen. Die Software-Lieferkette ist zum neuen Schlachtfeld geworden.

de | boerse | 69123568 |