Project Lightwell: IBM und Red Hat investieren fünf Milliarden Euro

Project Lightwell: 20.000 Ingenieure sollen Open-Source-Ökosystem absichern.

Die zunehmenden Angriffe auf Entwickler-Plattformen und Paket-Repositories haben ein alarmierendes Ausmaß erreicht. IBM und Red Hat reagieren nun mit einem beispiellosen Kraftakt: Am 28. Mai 2026 kündigten die beiden Tech-Riesen Project Lightwell an – eine Fünf-Milliarden-Euro-Initiative zur Sicherung von Open-Source-Anwendungen. Rund 20.000 Ingenieure sollen eine KI-gestützte Sicherheitsplattform aufbauen, die zunächst elf Finanzinstituten zur Verfügung steht. Später soll der Dienst über ein kommerzielles Abonnement-Modell erhältlich sein.

Angesichts der rasanten Entwicklung von KI-Technologien und den damit verbundenen Sicherheitsrisiken müssen Unternehmen neue rechtliche Rahmenbedingungen beachten. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle Anforderungen, Pflichten und Fristen der neuen EU-KI-Verordnung. EU AI Act in 5 Schritten verstehen

Die Ankündigung kommt zu einem Zeitpunkt, an dem die Bedrohungslage für Entwickler-Umgebungen so angespannt ist wie nie zuvor. Gleich mehrere Hacker-Kampagnen zielen gezielt auf das npm-Repository und gängige Entwicklungswerkzeuge ab.

Massenkompromittierung im npm-Ökosystem

Bereits Ende Mai schlugen Sicherheitsforscher Alarm: Ein als vpmdhaj identifizierter Angreifer veröffentlichte am 28. Mai 2026 insgesamt 14 bösartige npm-Pakete. Diese nutzten sogenanntes Typosquatting – sie gaben sich als legitime OpenSearch- und Elasticsearch-Bibliotheken aus. Die Pakete wurden zwar inzwischen entfernt, doch die Schadroutine war raffiniert: Über Pre-Install-Hooks stahlen sie AWS-Zugangsdaten, HashiCorp-Vault-Tokens und GitHub-Actions-Secrets.

Parallel dazu entdeckten Forscher zwischen dem 28. und 29. Mai eine weitere Serie von Schadpaketen, die auf Dependency Confusion setzten. Sie imitierten interne Unternehmens-Namensräume großer Cloud- und E-Commerce-Plattformen. Einmal installiert, sammelte eine verschleierte Aufklärungsroutine Hostnamen und Umgebungsvariablen. Über einen serverseitigen Schalter hätten die Angreifer jederzeit von Datensammlung auf vollständige Systemkontrolle umschalten können.

Diese Vorfälle reihen sich ein in eine besorgniserregende Entwicklung: Bereits am 11. Mai 2026 waren 42 TanStack-Pakete innerhalb von nur sechs Minuten kompromittiert worden. Die Angreifer nutzten eine Cache-Poisoning-Technik in GitHub Actions, um Tokens aus dem Arbeitsspeicher zu extrahieren. Betroffen waren sekundäre Ziele in der KI-, Automatisierungs- und Luftfahrtbranche.

CISA warnt: VS-Code-Erweiterung als Einfallstor

Die US-Sicherheitsbehörde CISA schlug am 28. Mai 2026 Alarm. In einer Warnung vor Bedrohungen für Software-Entwicklungspipelines hob die Behörde die „Megalodon“-Kampagne hervor, die bereits Anfang Mai mehr als 5.500 Repositories infiziert hatte. Besonders brisant: die Kompromittierung einer VS-Code-Erweiterung.

Am 18. Mai 2026 war eine trojanisierte Version der Nx-Console-Erweiterung für 18 Minuten im Marketplace verfügbar. In diesem kurzen Zeitfenster gelang es den Angreifern, Sicherheitstokens zu stehlen und rund 3.800 interne GitHub-Repositories zu klonen. CISA nahm die zugehörige Schwachstelle CVE-2026-48027 am 27. Mai 2026 in den Katalog bekannter ausgenutzter Sicherheitslücken auf.

Während technologische Abwehrmechanismen essenziell sind, bleiben gezielte Manipulationen von Mitarbeitern ein großes Sicherheitsrisiko für Unternehmen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, welche psychologischen Tricks Cyberkriminelle aktuell nutzen und wie Sie Ihr Team wirksam schützen können. Kostenlosen Phishing-Schutz-Report jetzt anfordern

Auch etablierte Hackergruppen passen ihre Methoden an. Zwischen März und April 2026 nutzte die als Kimsuky bekannte Gruppe Microsofts VS-Code-Remote-Tunnels als Kommando- und Steuerkanal. Indem sie sich als legitime Entwickleraktivität tarnten, spähten die Angreifer militärische und Unternehmenseinrichtungen in Südkorea aus.

Erfolgreiche Abwehr und wachsender Sicherheitsmarkt

Die Industrie schlägt zurück: Am 26. Mai 2026 gelang einer Koalition aus CrowdStrike, Google und der Shadowserver Foundation die Zerschlagung des Glassworm-Botnets. In einer koordinierten Aktion kappten sie gleich vier Kommando- und Steuerkanäle – darunter solche, die auf der Solana-Blockchain und über Google Calendar liefen. Das Botnet war seit Anfang 2025 aktiv und hatte Entwickler über vergiftete Repositories und Schadpakete auf mehreren Betriebssystemen angegriffen.

Die zunehmende Komplexität der Attacken treibt auch die Investitionen in spezialisierte Sicherheits-Startups. Socket, ein auf Supply-Chain-Sicherheit spezialisiertes Unternehmen, sicherte sich kürzlich 60 Millionen Euro in einer Series-C-Finanzierungsrunde unter Führung von Thrive Capital. Das Unternehmen, nun mit einer Milliarde Euro bewertet, will seine Sicherheitskontrollen auf Browser-Erweiterungen, Editor-Plugins und KI-gesteuerte Fähigkeitsmärkte ausweiten.

Sicherheitsexperten raten Entwicklern derzeit dringend, kompromittierte Tokens zu rotieren, Workflow-Dateien auf unbefugte Änderungen zu prüfen und Installationsskripte in Paketmanagern zu deaktivieren. Nur so lasse sich das Risiko durch die anhaltenden Repository-Kampagnen zumindest eindämmen.

de | wissenschaft | 69451573 |