Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit das Vertrauen, das Entwickler in etablierte Distributionswege setzen. Neben klassischen Zugangsdaten wie GitHub-Tokens, SSH-Schlüsseln und Cloud-Credentials gerieten auch Konfigurationen von KI-Entwicklungsassistenten wie Claude, Cursor oder MCP-Setups (Model Context Protocol) ins Visier.
Entwickler-Tools als neues Angriffsziel
Sophos X-Ops, das Advanced-Threat-Research-Team des Unternehmens, sieht in dieser Aktivität einen Hinweis darauf, dass Angreifer zunehmend nicht nur Software-Abhängigkeiten, sondern auch das Vertrauen in Entwickler-Werkzeuge selbst ins Visier nehmen.
„Developer-Toolchains entwickeln sich immer stärker zu einem attraktiven Angriffsziel, weil dort privilegierte Zugriffe, Automatisierung und sensible Zugangsdaten zusammenlaufen", sagt Michael Veit, Cybersicherheits-Experte bei Sophos. „Bemerkenswert ist, dass nun offenbar auch Konfigurationen von KI-Assistenzsystemen gezielt mitgesammelt werden. Das deutet auf eine sich erweiternde Angriffsfläche hin."
Supply-Chain-Risiken mit größerer Reichweite
Aus Sicht von Sophos ist dabei entscheidend: Solche Angriffe enden häufig nicht beim Diebstahl von Zugangsdaten. Kompromittierte Tokens oder manipulierte Workflows können zum Ausgangspunkt für weiterreichende Angriffe auf Entwicklungs- und Produktionsumgebungen werden.
Hinzu kommt, dass beide Angriffe dieselbe Command-and-Control-Domain nutzten – ein Indiz, das auf einen koordinierten Akteur oder eine gemeinsam gesteuerte Kampagne hindeutet.
Die Vorfälle unterstreichen aus Sicht von Sophos fünf zentrale Handlungsfelder:
Entwickler-Tools als neues Angriffsziel
Sophos X-Ops, das Advanced-Threat-Research-Team des Unternehmens, sieht in dieser Aktivität einen Hinweis darauf, dass Angreifer zunehmend nicht nur Software-Abhängigkeiten, sondern auch das Vertrauen in Entwickler-Werkzeuge selbst ins Visier nehmen.
„Developer-Toolchains entwickeln sich immer stärker zu einem attraktiven Angriffsziel, weil dort privilegierte Zugriffe, Automatisierung und sensible Zugangsdaten zusammenlaufen", sagt Michael Veit, Cybersicherheits-Experte bei Sophos. „Bemerkenswert ist, dass nun offenbar auch Konfigurationen von KI-Assistenzsystemen gezielt mitgesammelt werden. Das deutet auf eine sich erweiternde Angriffsfläche hin."
Supply-Chain-Risiken mit größerer Reichweite
Aus Sicht von Sophos ist dabei entscheidend: Solche Angriffe enden häufig nicht beim Diebstahl von Zugangsdaten. Kompromittierte Tokens oder manipulierte Workflows können zum Ausgangspunkt für weiterreichende Angriffe auf Entwicklungs- und Produktionsumgebungen werden.
Hinzu kommt, dass beide Angriffe dieselbe Command-and-Control-Domain nutzten – ein Indiz, das auf einen koordinierten Akteur oder eine gemeinsam gesteuerte Kampagne hindeutet.
Die Vorfälle unterstreichen aus Sicht von Sophos fünf zentrale Handlungsfelder:
- Entwickler-Tools und CI/CD-Pipelines als eigene Angriffsfläche absichern
- Tokens und Secrets konsequent rotieren und überwachen
- Software-Lieferketten auf Manipulationen prüfen
- KI-gestützte Entwicklerumgebungen in Sicherheitsmodelle einbeziehen
- Multi-Faktor-Authentifizierung (MFA) für Paket-Registries und Cloud-Konten aktivieren, wo dies noch nicht erfolgt ist.
