Aktuelle Angriffe auf den Infrastruktur-Scanner „Checkmarx KICS“ und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker-Hub und Github-Actions. Sie unterwanderten damit das Vertrauen, das Entwickler in etablierte Distributionswege setzen. Neben klassischen Zugangsdaten wie Github-Tokens, SSH-Schlüsseln und Cloud-Credentials gerieten auch Konfigurationen von KI-Entwicklungsassistenten wie Claude, Cursor oder MCP-Setups (Model-Context-Protocol) ins Visier.
Entwickler-Tools als neues Angriffsziel
Sophos-X-Ops, das Advanced-Threat-Research-Team des Unternehmens, sieht in dieser Aktivität einen Hinweis darauf, dass Angreifer zunehmend nicht nur Software-Abhängigkeiten, sondern auch das Vertrauen in Entwickler-Werkzeuge selbst ins Visier nehmen.
„Developer-Toolchains entwickeln sich immer stärker zu einem attraktiven Angriffsziel, weil dort privilegierte Zugriffe, Automatisierung und sensible Zugangsdaten zusammenlaufen“, sagt Michael Veit, Cybersicherheits-Experte bei Sophos. „Bemerkenswert ist, dass nun offenbar auch Konfigurationen von KI-Assistenzsystemen gezielt mitgesammelt werden. Das deutet auf eine sich erweiternde Angriffsfläche hin.“
Supply-Chain-Risiken mit größerer Reichweite
Aus Sicht von Sophos ist dabei entscheidend: Solche Angriffe enden häufig nicht beim Diebstahl von Zugangsdaten. Kompromittierte Tokens oder manipulierte Workflows können zum Ausgangspunkt für weiterreichende Angriffe auf Entwicklungs- und Produktionsumgebungen werden.
Hinzu kommt, dass beide Angriffe dieselbe Command-and-Control-Domain nutzten – ein Indiz, das auf einen koordinierten Akteur oder eine gemeinsam gesteuerte Kampagne hindeutet.
Die Vorfälle unterstreichen aus Sicht von Sophos fünf zentrale Handlungsfelder:
- Entwickler-Tools und CI/CD-Pipelines als eigene Angriffsfläche absichern
- Tokens und Secrets konsequent rotieren und überwachen
- Software-Lieferketten auf Manipulationen prüfen
- KI-gestützte Entwicklerumgebungen in Sicherheitsmodelle einbeziehen
- Multi-Faktor-Authentifizierung (MFA) für Paket-Registries und Cloud-Konten aktivieren, wo dies noch nicht erfolgt ist.
Info: Weitere Einzelheiten beschreibt Sophos auf seinem Blog (in englischer Sprache): https://www.sophos.com/de-de/blog/supply-chain-attacks-hit-checkmarx-and-bitwarden-developer-tools
#Sophos
