Supply-Chain-Angriffe Juli 2026: Doppelt so viele wie im Vorjahr
02.07.2026 - 11:11:17 | boerse-global.de
Die Angreifer nutzen manipulierte Python-Pakete und gefÀlschte Exploit-Codes, um einen Remote Access Trojan (RAT) namens ChocoPoC zu verbreiten.
Die Infektionskette: Wie ChocoPoC Forscher ködert
Sicherheitsfirmen wie Sekoia und YesWeHack haben die Kampagne im Detail analysiert. Die TĂ€ter nutzen kompromittierte Entwicklerkonten, um mindestens sieben GitHub-Repositories zu hosten. Diese geben vor, Proof-of-Concept-Exploits fĂŒr verschiedene kritische SicherheitslĂŒcken (CVEs) anzubieten.
Die hinterlegten Repositorys enthalten Code, der die Installation schĂ€dlicher Python-Pakete aus dem Python Package Index (PyPI) auslöst. Besonders die Pakete âfrint" und âskytext" dienen als Einfallstore fĂŒr den Trojaner. Einmal installiert, setzt die Malware auf ausgeklĂŒgelte Tarnung: Sie nutzt Environmental Key Gating, Anti-Debugging-Techniken und Timestomping, um der Erkennung zu entgehen.
Das Paket âskytext" wurde rund 2.400 Mal heruntergeladen. Die meisten Infektionen ereigneten sich auf Linux-Systemen. Der Trojaner sichert sich dauerhaften Zugriff und stiehlt sensible Daten â darunter Browser-Zugangsdaten und Entwicklerumgebungen. FĂŒr die Kommunikation mit den Angreifern nutzt die Malware Mapbox-DatensĂ€tze.
Zielgerichtete Schwachstellen und frĂŒhere AktivitĂ€ten
Die Kampagne lockt Forscher mit vermeintlichen Exploit-Codes fĂŒr mehrere spezifische SicherheitslĂŒcken. Dazu gehören unter anderem CVE-2025-64446, CVE-2025-55182 und CVE-2026-48908.
Immer mehr Unternehmen werden Opfer von Cyberangriffen â diese Checkliste hilft Ihnen, es zu verhindern. Experten erklĂ€ren im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spĂ€t ist. Experten-Checkliste jetzt kostenlos anfordern
Ermittler gehen davon aus, dass die Kampagne bereits seit Ende 2025 aktiv ist. FrĂŒhere Versionen des Angriffs nutzten andere bösartige PyPI-Pakete wie âslogsec" und âlogcrypt.cryptography". Die Malware kann beliebige Shell-Befehle ausfĂŒhren und Dateien von infizierten Rechnern in die Infrastruktur der Angreifer hochladen.
Angriffswelle auf die Lieferkette: Open Source im Visier
Die Entdeckung von ChocoPoC fĂ€llt in eine Serie weiterer hochkarĂ€tiger Supply-Chain-Angriffe Anfang Juli 2026. Microsoft warnte vor einer Kompromittierung des Mistral AI Python-Pakets (Version 2.4.6). Dieser Vorfall ist Teil der âShai-Hulud"-Kampagne, die Berichten zufolge mehr als 170 Pakete betrifft. Die Malware im Mistral-Paket stiehlt Zugangsdaten â umgeht dabei aber gezielt Systeme in Russland und löscht Dateien auf Rechnern in Israel oder im Iran.
Parallel dazu entdeckten Forscher eine Kampagne, die mit nordkoreanischen Angreifern in Verbindung gebracht wird: âContagious Trader". Dabei verteilten die TĂ€ter 30 schĂ€dliche npm-Pakete ĂŒber gefĂ€lschte Polymarket-Arbitrage-Bots auf GitHub. Ein Paket namens âclob-client-math" stahl Krypto-Wallet-Keys, AWS-Zugangsdaten und SSH-SchlĂŒssel von mindestens 53 Entwicklern.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klĂ€rt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen mĂŒssen. Kostenlosen Cyber-Security-Report herunterladen
Die Rolle der KI: Wenn Bots blind vertrauen
Aktuelle Berichte unterstreichen die wachsende Bedeutung von KI-Coding-Agenten fĂŒr SicherheitslĂŒcken in der Lieferkette. Branchenanalysten verzeichnen fĂŒr das erste Halbjahr 2026 mehr als doppelt so viele solcher Kampagnen wie im Vorjahr. Die KI-Agenten ĂŒberspringen hĂ€ufig die PaketĂŒberprĂŒfung â und machen sich damit angreifbar fĂŒr âSlopsquatting". Bei dieser technique nutzen Angreifer KI-Halluzinationen aus, um Entwicklern nicht existierende oder schĂ€dliche AbhĂ€ngigkeiten vorzuschlagen.
