Die Cybersicherheitslandschaft erlebt eine fundamentale Verschiebung: Kriminelle haben ihre Aufmerksamkeit von breit angelegten Phishing-Kampagnen auf **hochspezifische Angriffe gegen Softwareentwickler** verlagert. Diese neue Taktik nutzt beliebte Entwicklungsplattformen wie GitHub und GitLab als Vektoren für die Verbreitung von Schadsoftware durch gefälschte Open-Source-Projekte.
Dramatische Zunahme webbasierter Malware-Verbreitung
Aktuelle Sicherheitsanalysen von Positive Technologies zeigen eine **alarmierende Verdopplung der webbasierten Malware-Verbreitung auf 13%** im ersten Halbjahr 2025 – ein Anstieg, der die Vorjahreszahlen bei weitem übertrifft. Diese Entwicklung markiert einen Höchststand der vergangenen drei Jahre bei derartigen Angriffsmustern.
Trotz der Diversifizierung der Angriffsvektoren bleibt Malware mit einem Anteil von **63% aller erfolgreichen Cyberattacken** das bevorzugte Werkzeug von Cyberkriminellen. Die Auslieferungsmethoden haben sich jedoch erheblich sophistizierter entwickelt und zielen nun präzise auf spezifische Zielgruppen ab.
Perfide Manipulation von Code-Repositories
Die neue Angriffsstrategie basiert auf der Erstellung täuschend echter Open-Source-Projekte in renommierten Code-Repositories. Diese scheinbar legitimen Softwarelösungen enthalten versteckte Schadcode-Komponenten, die bei der Installation verschiedene Schadfunktionen aktivieren:
• Nachladung zusätzlicher Malware-Module aus kompromittierten Repositories
• Installation von Remote Access Trojans (RATs) für Fernzugriff
• Deployment spezialisierter Spionagesoftware
• Exfiltration sensibler Unternehmensdaten und Zugangsinformationen
Typosquatting als Hauptangriffsvektor
Besonders raffiniert gestaltet sich die Verwendung von Typosquatting-Techniken. Cyberkriminelle erstellen Pakete mit Namen, die **beliebten Bibliotheken täuschend ähnlich sind**, aber bewusst Tippfehler enthalten. Diese Methode nutzt die natürliche Fehleranfälligkeit beim manuellen Eingeben von Paketnamen in Kommandozeilenwerkzeugen oder Dependency-Management-Systemen aus.
Ein exemplarischer Fall ereignete sich im PyPI-Repository, wo Angreifer gezielt Machine-Learning-Spezialisten ins Visier nahmen. Die gefälschten Pakete **“deepseeek“ und „deepseekai“** imitierten das populäre KI-System DeepSeek, enthielten jedoch Schadcode zur Sammlung von Systeminformationen und zum Diebstahl von Umgebungsvariablen.
Weltweite Angriffswellen mit unterschiedlichen Zielgruppen
Die geografische Verteilung der Angriffe verdeutlicht deren globalen Charakter. In Russland, Brasilien und der Türkei wurden **Gaming-Communities und Kryptowährungsinvestoren** durch spezialisierte Information Stealer kompromittiert, die folgende Daten extrahierten:
• Kryptowallet-Adressen und private Schlüssel
• Persönliche Identifikationsdaten und Dokumente
• Banking-Informationen und Zahlungsverkehrsdaten
Parallel dazu führte die nordkoreanische Hackergruppe Lazarus eine koordinierte Operation gegen Entwickler in den USA, Europa und Asien durch. **Mindestens 233 Softwareentwickler** wurden dabei Opfer eines JavaScript-Implants, das systematisch Systeminformationen sammelte und an die Angreifer übermittelte.
Supply-Chain-Kompromittierung mit Multiplikatoreffekt
Die besondere Gefährlichkeit dieser Angriffsstrategie liegt in ihrem **kaskadenartigen Schadenspotenzial**. Wenn ein Entwickler kompromittiert wird, erstreckt sich die Bedrohung auf sämtliche Projekte und Organisationen, die mit der betroffenen Person in Verbindung stehen. Dieser Dominoeffekt ermöglicht es Angreifern, mit minimalen Ressourcen maximale Reichweite zu erzielen.
Die Intensivierung von Supply-Chain-Angriffen wird sich als dominierender Trend in der Cybersicherheit etablieren. Advanced Persistent Threat (APT)-Gruppen erkennen zunehmend das Potenzial dieser Angriffsvektoren für effiziente Ressourcennutzung bei maximaler Schadenswirkung. Entwicklerteams müssen daher **rigorose Sicherheitsmaßnahmen implementieren**, einschließlich systematischer Paketverifikation und dem Einsatz automatisierter Code-Validierungstools, um ihre Projekte und nachgelagerte Systeme zu schützen.
