Hacker-Kampagne zielt auf KI-Tools: 160 manipulierte Pakete entdeckt
Veröffentlicht: 18.07.2026 um 02:01 Uhr, Redaktion boerse-global.de
Sicherheitsanalysten von Elastic Security Labs haben die neue Angriffswelle der Gruppe REF9403 identifiziert.
Steganografie in Nationalflaggen
Die Täter nehmen über Slack Kontakt zu Softwareentwicklern auf und laden sie zu vermeintlichen Bewerbungsgesprächen ein. Dabei schicken sie SVG-Grafiken, die harmlose Nationalflaggen zeigen. In den Metadaten verstecken die Hacker mittels Steganografie bösartige Code-Fragmente – als Base64-Segmente in HTML-Kommentaren.
Ein Skript namens „serverValidation.js“ setzt die Fragmente auf dem Zielsystem wieder zusammen. Da die Malware in gewöhnlichen Bilddateien versteckt ist, bleibt sie bei ersten Scans gängiger Antiviren-Lösungen unentdeckt.
OTTERCOOKIE stiehlt KI-Erweiterungen
Gelingt die Infektion, installieren die Angreifer die vierstufige Payload „OTTERCOOKIE“. Die Malware agiert als Browser-Credential-Stealer und verfügt über Funktionen zum Dateidiebstahl sowie Fernzugriff (RAT).
Besonders im Fokus: KI-gestützte Programmierwerkzeuge. OTTERCOOKIE scannt gezielt nach Erweiterungen für Claude, Cursor, Gemini und Llama. Ziel ist neben dem Diebstahl von Zugangsdaten auch der Zugriff auf Krypto-Wallets der Opfer.
Dass Hacker gezielt die Neugier von Entwicklern bei vermeintlichen Job-Challenges ausnutzen, zeigt die wachsende Gefahr durch hochspezialisierte Social-Engineering-Angriffe. Dieser kostenlose Report enthüllt, welche psychologischen Tricks Cyberkriminelle aktuell einsetzen und wie Sie diese rechtzeitig entlarven. Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus
Hunderte manipulierte Open-Source-Pakete
Die Gruppe modifizierte über 160 bösartige Artefakte in mehr als 100 Paketen auf Plattformen wie npm, Go und Packagist. Die Hacker überschreiben die Git-Historie durch erzwungene Pushes und rückdatierte Commits, um die Manipulationen zu verschleiern.
Den Schadcode verstecken sie in Whitespaces oder innerhalb von Web-Font-Dateien (.woff2). Hier kommen Payloads wie „DEV#POPPER“ und „OmniStealer“ zum Einsatz.
Angesichts der durch KI professionalisierten Angriffe müssen Unternehmen ihre Sicherheitsstrategien laufend an die neue Bedrohungslage anpassen. In diesem Gratis-E-Book erfahren Sie, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen zum Schutz Ihrer IT-Infrastruktur erfüllen. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen
KI macht Betrugsversuche professioneller
Analysten von Mandiant (Google Cloud) beobachten die Aktivitäten seit Jahren. Seit Ende 2025 setzen die Angreifer verstärkt Künstliche Intelligenz ein, um ihre Kampagnen zu skalieren und die Qualität der Täuschungsversuche zu erhöhen.
Sicherheitsexperten raten Entwicklern zu erhöhter Wachsamkeit bei unaufgeforderten Kontaktanfragen und empfehlen DevSecOps-Praktiken, um die Integrität der genutzten Software-Pakete sicherzustellen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
