Hacker-Kampagne, KI-Tools

Hacker-Kampagne zielt auf KI-Tools: 160 manipulierte Pakete entdeckt

Veröffentlicht: 18.07.2026 um 02:01 Uhr, Redaktion boerse-global.de

Hacker kapern Bewerbungsgespräche via Slack und verstecken Malware in Nationalflaggen-Bildern. KI-Erweiterungen und Krypto-Wallets im Visier.

REF9403: Neue Angriffswelle nutzt SVG-Steganografie gegen Entwickler
Eine Person mit Kapuzenpullover arbeitet an einem Laptop, darüberliegend Codezeilen und ein SVG-Symbol einer Flagge, das auf Malware hindeutet. Illustration mit AI erstellt übermittelt durch boerse-global.de

Sicherheitsanalysten von Elastic Security Labs haben die neue Angriffswelle der Gruppe REF9403 identifiziert.

Steganografie in Nationalflaggen

Die Täter nehmen über Slack Kontakt zu Softwareentwicklern auf und laden sie zu vermeintlichen Bewerbungsgesprächen ein. Dabei schicken sie SVG-Grafiken, die harmlose Nationalflaggen zeigen. In den Metadaten verstecken die Hacker mittels Steganografie bösartige Code-Fragmente – als Base64-Segmente in HTML-Kommentaren.

Ein Skript namens „serverValidation.js“ setzt die Fragmente auf dem Zielsystem wieder zusammen. Da die Malware in gewöhnlichen Bilddateien versteckt ist, bleibt sie bei ersten Scans gängiger Antiviren-Lösungen unentdeckt.

OTTERCOOKIE stiehlt KI-Erweiterungen

Gelingt die Infektion, installieren die Angreifer die vierstufige Payload „OTTERCOOKIE“. Die Malware agiert als Browser-Credential-Stealer und verfügt über Funktionen zum Dateidiebstahl sowie Fernzugriff (RAT).

Besonders im Fokus: KI-gestützte Programmierwerkzeuge. OTTERCOOKIE scannt gezielt nach Erweiterungen für Claude, Cursor, Gemini und Llama. Ziel ist neben dem Diebstahl von Zugangsdaten auch der Zugriff auf Krypto-Wallets der Opfer.

Anzeige

Dass Hacker gezielt die Neugier von Entwicklern bei vermeintlichen Job-Challenges ausnutzen, zeigt die wachsende Gefahr durch hochspezialisierte Social-Engineering-Angriffe. Dieser kostenlose Report enthüllt, welche psychologischen Tricks Cyberkriminelle aktuell einsetzen und wie Sie diese rechtzeitig entlarven. Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus

Hunderte manipulierte Open-Source-Pakete

Die Gruppe modifizierte über 160 bösartige Artefakte in mehr als 100 Paketen auf Plattformen wie npm, Go und Packagist. Die Hacker überschreiben die Git-Historie durch erzwungene Pushes und rückdatierte Commits, um die Manipulationen zu verschleiern.

Den Schadcode verstecken sie in Whitespaces oder innerhalb von Web-Font-Dateien (.woff2). Hier kommen Payloads wie „DEV#POPPER“ und „OmniStealer“ zum Einsatz.

Anzeige

Angesichts der durch KI professionalisierten Angriffe müssen Unternehmen ihre Sicherheitsstrategien laufend an die neue Bedrohungslage anpassen. In diesem Gratis-E-Book erfahren Sie, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen zum Schutz Ihrer IT-Infrastruktur erfüllen. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen

KI macht Betrugsversuche professioneller

Analysten von Mandiant (Google Cloud) beobachten die Aktivitäten seit Jahren. Seit Ende 2025 setzen die Angreifer verstärkt Künstliche Intelligenz ein, um ihre Kampagnen zu skalieren und die Qualität der Täuschungsversuche zu erhöhen.

Sicherheitsexperten raten Entwicklern zu erhöhter Wachsamkeit bei unaufgeforderten Kontaktanfragen und empfehlen DevSecOps-Praktiken, um die Integrität der genutzten Software-Pakete sicherzustellen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69790750 |