Cybersecurity-Experten von Safety haben einen bahnbrechenden Sicherheitsvorfall dokumentiert: Zum ersten Mal wurde ein vollständig durch künstliche Intelligenz erstelltes Schadprogramm im offiziellen npm-Repository entdeckt. Dieser Präzedenzfall markiert eine neue Ära der Cyberbedrohungen, in der Angreifer AI-Technologien systematisch zur Entwicklung hochentwickelter Malware einsetzen.
Analyse des schädlichen Pakets @kodane/patch-manager
Das als @kodane/patch-manager getarnte Schadprogramm imitierte legitime Software für „erweiterte Lizenzprüfung und Registry-Optimierung für hochperformante Node.js-Anwendungen“. Am 28. Juli 2025 veröffentlichte der Nutzer „Kodane“ das gefälschte Paket im npm-Repository und täuschte damit ahnungslose Entwickler.
Bevor die Bedrohung erkannt und entfernt wurde, hatten über 1.500 Entwickler das infizierte Paket heruntergeladen. Besonders alarmierend: Die bösartigen Funktionen waren offen im Quellcode dokumentiert, wobei die Cryptocurrency-Stealing-Komponente explizit als „enhanced stealth wallet drainer“ bezeichnet wurde.
Funktionsweise des KI-entwickelten Crypto-Stealers
Die Attacke nutzte einen postinstall-Script, der unmittelbar nach der Paketinstallation automatisch aktiviert wurde. Das plattformübergreifende Schadprogramm funktionierte nahtlos auf Windows-, Linux- und macOS-Systemen.
Der mehrstufige Infektionsprozess folgte einem präzisen Schema: Zunächst speicherte das Script seine Payload in versteckten Systemverzeichnissen und generierte eine eindeutige Geräte-ID. Anschließend etablierte es eine Verbindung zum Command-and-Control-Server unter sweeper-monitor-production.up.railway[.]app. Zum Analysezeitpunkt zeigte der Server bereits zwei kompromittierte Geräte an.
Mechanismus des Cryptocurrency-Diebstahls
Nach erfolgreicher Infektion initiierte die Malware eine umfassende Dateisystem-Durchsuchung nach Wallet-Dateien verschiedener Kryptowährungen. Bei Fund entsprechender Daten transferierte das Programm automatisch alle verfügbaren Mittel an eine vordefinierte Solana-Blockchain-Adresse.
Blockchain-Analysen bestätigten, dass ein Großteil der mit dieser Wallet-Adresse verbundenen Transaktionen von kompromittierten Nutzern stammte, die das schädliche npm-Paket installiert hatten.
Revolutionäre Rolle der künstlichen Intelligenz
Das Alleinstellungsmerkmal dieses Vorfalls liegt in der systematischen Nutzung von AI-Technologie zur Malware-Generierung. Sicherheitsforscher identifizierten mit hoher Wahrscheinlichkeit den Claude-Chatbot von Anthropic als Entwicklungswerkzeug für den Schadcode.
Diese Entwicklung signalisiert einen Paradigmenwechsel in der Bedrohungslandschaft. Künstliche Intelligenz senkt die Eintrittsbarrieren für die Erstellung sophistizierter Cyberattacken erheblich und ermöglicht auch weniger versierten Angreifern die Entwicklung komplexer Bedrohungen.
Schutzstrategien gegen AI-generierte Bedrohungen
Der Vorfall unterstreicht die dringende Notwendigkeit verstärkter Sicherheitsmaßnahmen bei der Nutzung öffentlicher Code-Repositories. Entwicklungsteams sollten rigoros alle Paketinstallationen überprüfen, insbesondere von unbekannten Autoren, und automatisierte Dependency-Scanning-Tools implementieren.
Die Emergence AI-generierter Malware erfordert eine grundlegende Neuausrichtung der Cybersecurity-Strategien. Organisationen müssen in moderne Sicherheitslösungen investieren, die speziell darauf ausgelegt sind, automatisch generierte Bedrohungen zu erkennen und zu neutralisieren. Gleichzeitig ist die Entwicklung neuer Detektionsalgorithmen erforderlich, die die charakteristischen Signaturen KI-erstellter Schadprogramme identifizieren können.
Dieser Präzedenzfall verdeutlicht, dass die Cybersecurity-Branche vor einer neuen Herausforderung steht: dem Wettrüsten zwischen AI-gestützten Angriffs- und Verteidigungssystemen. Proaktive Sicherheitsansätze und kontinuierliche Weiterbildung werden entscheidend sein, um dieser evolutionären Bedrohung erfolgreich zu begegnen.
