Malware-Welle im Juli: 30 Red-Hat-Pakete mit Miasma infiziert
Veröffentlicht: 05.07.2026 um 18:43 Uhr, Redaktion boerse-global.de
Sicherheitsforscher haben ein neues Open-Source-Tool veröffentlicht, das Schadsoftware anhand ihres Verhaltens identifiziert. Die Anwendung namens TraceTree wurde am 5. Juli 2026 auf GitHub bereitgestellt – und das zu einem Zeitpunkt, an dem eine Welle gezielter Angriffe auf die Software-Lieferkette Entwickler und Cloud-Infrastrukturen erschüttert.
TraceTree setzt auf ein Random-Forest-Maschinenlernmodell, das mit dem CIC-MalMem-2022-Datensatz trainiert wurde. Das System analysiert rund 58.000 Speicherdump-Spuren und extrahiert zehn verschiedene Merkmale aus Systemaufruf-Graphen, um Anomalien zu erkennen. Die Veröffentlichung fällt in eine Phase intensiver Aktivitäten staatlich gesteuerter und krimineller Akteure, die gezielt die Software-Lieferkette ins Visier nehmen.
Nordkoreanische Kampagnen im Visier
Noch am selben Tag identifizierten Sicherheitsanalysten eine neue Kampagne namens PolinRider, die der nordkoreanischen Lazarus-Gruppe (auch als APT37 bekannt) zugeschrieben wird. Die Operation hat bereits mindestens 108 schadhafte Pakete in großen Repositories wie npm, Packagist und Go-Modulen sowie im Chrome Web Store platziert. Die Angreifer nutzen verschleierte Lader, die in Konfigurationsdateien versteckt sind, und setzen Blockchain-Netzwerke wie TRON, Aptos und BNB für die Kommando- und Kontrollinfrastruktur ein.
Nur einen Tag zuvor, am 4. Juli 2026, veröffentlichten Angreifer betrügerische npm-Pakete, die legitime Rollup-Polyfills nachahmten. Pakete wie „rollup-packages-polyfill-core“ sollten Entwickler-Anmeldedaten und Kryptowährungs-Wallet-Daten stehlen, indem sie über die eval-Funktion eine zweite Schadcode-Stufe ausführten.
Branchenberichte vom 5. Juli dokumentierten zudem die „ContagiousInterview“-Kampagne. Seit Anfang 2025 wurden über 1.700 schadhafte Pakete in Ökosystemen wie Rust, PHP und PyPI verteilt. Die Kampagne nutzt gefälschte Jobangebote auf professionellen Netzwerkplattformen, um Entwickler zum Herunterladen von Hintertüren wie AkdoorTea zu verleiten.
Red-Hat-Pakete und Cloud-Umgebungen kompromittiert
Das Ausmaß der Lieferkettenrisiken zeigt ein weiterer Vorfall: Mehr als 30 Red-Hat-npm-Pakete wurden kompromittiert. Der am 5. Juli 2026 gemeldete Einbruch erfolgte über ein gehacktes GitHub-Konto eines Red-Hat-Mitarbeiters. Die betroffenen Pakete, die verschiedene Cloud-Dienst-Clients umfassen, wurden mit der Miasma-Malware infiziert – einer Variante des Shai-Hulud-Wurms.
Angesichts der massiven Zunahme von Angriffen auf IT-Infrastrukturen und Cloud-Geheimnisse müssen Unternehmen ihre Abwehrstrategien dringend modernisieren. Dieser kostenlose Ratgeber unterstützt IT-Verantwortliche dabei, aktuelle Sicherheitslücken proaktiv zu schließen und neue gesetzliche Schutzvorgaben effizient umzusetzen. IT-Sicherheits-Guide jetzt kostenlos herunterladen
Die Schadsoftware führt ein Preinstall-Skript aus, um GitHub-Actions-Geheimnisse, npm-Tokens und SSH-Schlüssel zu stehlen. Bevor der Einbruch entdeckt wurde, erreichten die kompromittierten Pakete schätzungsweise 117.000 wöchentliche Downloads. Technische Analysen zeigen, dass die Malware Systeme mit russischer Spracheinstellung meidet und Daten an eine externe API abfließt.
Bereits am 2. Juli 2026 hatte das FBI eine FLASH-Warnung zu einer Gruppe namens TeamPCP herausgegeben. Diese Gruppe hat über 1.000 Cloud-Umgebungen kompromittiert, indem sie gezielt Entwickler-Tools in CI/CD-Pipelines angriff. Mit Malware-Familien wie CanisterWorm und SANDCLOCK stehlen die Akteure Kubernetes-Geheimnisse und AWS-Anmeldedaten, um Erpressungsversuche zu ermöglichen.
WordPress-Ökosystem und Industriesektor betroffen
Auch das WordPress-Ökosystem bleibt nicht verschont. Jüngste Einbrüche bei WPFactory, OptinMonster und ShapedPlugin haben insgesamt mehr als 1,6 Millionen Websites gefährdet. Bei WPFactory wurde am 5. Juli eine Hintertür in einem Premium-WooCommerce-Plugin entdeckt, die unbefugte Änderungen am WordPress-Kern ermöglichte.
Die Professionalisierung der Cyberkriminalität, von gezieltem CEO-Fraud bis hin zu manipulierten Web-Diensten, stellt eine wachsende Bedrohung für die Verwaltung und den Handel dar. Erfahren Sie in diesem Experten-Report, wie Sie manipulative Taktiken entlarven und Ihr Unternehmen in vier konkreten Schritten vor Phishing-Angriffen schützen. Anti-Phishing-Paket für Unternehmen gratis anfordern
Bereits Anfang des Jahres führte ein Einbruch in eine ShapedPlugin-Build-Pipeline zur Einschleusung von bösartigem Code, der Zwei-Faktor-Authentifizierungs-Seeds stehlen konnte. Ähnliche Taktiken zeigten sich bei einem Angriff auf das OptinMonster-CDN im Juni 2026, bei dem gestohlene Schlüssel genutzt wurden, um JavaScript-Code einzuschleusen, der gezielt Site-Administratoren angriff.
Die Risiken erstrecken sich auch auf die industrielle Lieferkette. Im Juni 2026 wurde Tata Electronics von der World-Leaks-Ransomware-Gruppe angegriffen. Die Gruppe behauptet, 630 GB Daten abgeflossen zu haben. Die gestohlenen Dateien sollen sensible Komponentendesigns für große Automobil- und Technologieunternehmen enthalten. Das indische IT-Ministerium und CERT-In haben Ermittlungen zu den systemischen Risiken für globale Fertigungspartnerschaften eingeleitet.
