Thought Leadership
Hacker haben offizielle Kanäle von Bitwarden und Checkmarx gekapert. Erstmals stehlen Angreifer gezielt Daten von KI-Assistenten. Wie Sie Ihre Pipeline schützen.
Vor Kurzem kam es zu einer koordinierten Angriffswelle auf zwei zentrale Werkzeuge der Softwareentwicklung: den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client (CLI) des Passwortmanagers Bitwarden. Die Sicherheitsanalysten von Sophos X-Ops dokumentieren in einer aktuellen Untersuchung, dass die Angreifer offizielle Distributionskanäle wie npm, Docker Hub und GitHub Actions unterwanderten, um trojanisierte Versionen der Tools zu verbreiten. Besonders auffällig ist dabei ein neuer Fokus der Hacker auf die Konfigurationsdaten von KI-Entwicklungsassistenten.
Identische Infrastruktur für koordinierte Hacker-Kampagne
Die Analyse der Vorfälle zeigt eine enge zeitliche und technische Verknüpfung. Beide Angriffe erfolgten innerhalb weniger Stunden am selben Tag. Entscheidend für die Zuordnung zu einem gemeinsamen Akteur ist die Nutzung derselben Command-and-Control-Infrastruktur (C2). Die bösartigen Payloads beider Werkzeuge versuchten, gestohlene Informationen an die Domain audit.checkmarx.cx (IP-Adresse: 94.154.172.43) zu übertragen. Diese gezielte Namenswahl der Domain deutet darauf hin, dass die Angreifer versuchten, den schadhaften Datenverkehr als legitime Telemetriedaten des Anbieters Checkmarx zu tarnen. Damit untergruben sie gezielt das Vertrauen in etablierte Überwachungskanäle.
Manipulation offizieller Docker-Hub- und npm-Kanäle
Bei Checkmarx KICS, einem weit verbreiteten Open-Source-Scanner für Infrastructure-as-Code (IaC), wurden gleich drei Distributionswege kompromittiert. Auf Docker Hub, wo das Repository über fünf Millionen Downloads verzeichnet, wurden manipulierte Images unter gängigen Tags wie latest, debian und v2.1.20 hochgeladen. Zudem führten die Angreifer einen neuen Tag v2.1.21 ein. In diesen Images wurde das Go-basierte KICS-Binary so modifiziert, dass Scan-Berichte verschlüsselt an den Angreifer-Endpunkt gesendet wurden.
Parallel dazu wurden im Open VSX Registry zwei offizielle Visual Studio Code-Erweiterungen von Checkmarx (cx-dev-assist und ast-results) manipuliert. Die Angreifer fügten ein verstecktes Feature namens MCP addon hinzu. Um die Entdeckung zu erschweren, manipulierten sie die Git-Historie und datierten die bösartigen Code-Änderungen auf das Jahr 2022 zurück, wodurch diese wie ein etablierter Bestandteil der Software wirkten. Auch die offizielle GitHub-Action ast-github-action wurde in der Version 2.3.35 mit Schadcode versehen.
Nahezu zeitgleich wurde eine Sicherheitslücke in der CI/CD-Pipeline von Bitwarden ausgenutzt. Ein Angreifer kompromittierte eine GitHub-Action des Anbieters und veröffentlichte eine infizierte Version des Pakets @bitwarden/cli (Version 2026.4.0) im npm-Registry. Das Paket, das wöchentlich über 70.000 Downloads verzeichnet, war am 22. April für etwa 90 Minuten (zwischen 17:57 und 19:30 Uhr ET) öffentlich verfügbar, bevor es entfernt wurde. Die Infektion erfolgte über einen sogenannten Preinstall-Hook. Sobald ein Entwickler das Paket installierte, lud ein Skript namens bw_setup.js die Bun-Laufzeitumgebung herunter, um eine zweite, verschleierte Schadstufe (bw1.js) auszuführen. Sophos betont, dass ausschließlich das npm-Paket betroffen war. Browser-Erweiterungen, Desktop-Apps und die Tresordaten der Bitwarden-Nutzer blieben nach aktuellem Kenntnisstand unberührt.
Gezielter Diebstahl von KI-Konfigurationen und Cloud-Secrets
Das Ziel beider Angriffe war der Diebstahl von Zugangsdaten aus hochprivilegierten Entwicklerumgebungen. Die Schadsoftware suchte gezielt nach GitHub- und npm-Tokens, SSH-Schlüsseln, Credentials für Cloud-Provider (AWS, Azure, GCP), Umgebungsvariablen und Shell-Historien. Ein Novum ist die gezielte Suche nach Konfigurationen von KI-Entwicklungsassistenten wie Claude, Cursor, Aider und Setups des Model Context Protocols (MCP). Da diese KI-Tools oft tiefgreifenden Zugriff auf den Quellcode und die Projektstruktur haben, stellen ihre Konfigurationsdateien und Tokens eine neue, hochsensible Angriffsfläche dar. Der Diebstahl dieser Daten ermöglicht es Angreifern, die KI-gestützte Arbeitsweise von Entwicklern zu infiltrieren und potenziell bösartigen Code über die Vorschläge der Assistenten einzuschleusen. Es handelt sich damit um den ersten dokumentierten Fall, in dem KI-Werkzeuge systematisch als Zielobjekt in einer Supply-Chain-Attacke fungieren.
Hintertüren durch automatisierte Workflow-Injektion
Der Angriff auf das Bitwarden-CLI zeigte eine besonders aggressive Komponente. Die Schadsoftware beschränkte sich nicht auf den Diebstahl der Daten, sondern nutzte die gefundenen GitHub-Tokens sofort in-line aus. Das Skript versuchte, bösartige Workflows direkt in die Repositories der Opfer zu injizieren. Damit schufen die Angreifer eine dauerhafte Präsenz in den betroffenen Entwicklungsprojekten. Zudem legten die Angreifer in den GitHub-Accounts der Opfer öffentliche Repositories an, um diese als Dead Drop für die verschlüsselten, gestohlenen Daten zu nutzen. Dies erschwert die Entdeckung, da der Datenabfluss über legitime GitHub-Infrastruktur erfolgt und für Sicherheitsmonitore wie normaler Datenverkehr aussieht. Die Angreifer verwandelten die Infrastruktur der Opfer somit in einen Speicherort für den eigenen Beutezug.
Sophos-Warnung vor Angriffen auf die Developer-Toolchain
Sophos ordnet diese Vorfälle als Warnsignal für eine Professionalisierung von Angriffen auf die Toolchain ein.
„Developer-Toolchains entwickeln sich immer stärker zu einem attraktiven Angriffsziel, weil dort privilegierte Zugriffe, Automatisierung und sensible Zugangsdaten zusammenlaufen. Bemerkenswert ist, dass nun offenbar auch Konfigurationen von KI-Assistenzsystemen gezielt mitgesammelt werden. Das deutet auf eine sich erweiternde Angriffsfläche hin.“
Michael Veit, Cybersicherheits-Experte bei Sophos
Die Experten weisen darauf hin, dass Entwicklerumgebungen oft weniger streng überwacht werden als Produktionsserver, obwohl sie über die Pipeline direkten Zugriff auf Letztere haben. Das Vertrauen in etablierte Scanner und Passwort-Manager wird hier gezielt ausgenutzt, um Sicherheitsschranken zu umgehen.
Handlungsempfehlungen für betroffene Entwicklerteams
Organisationen, die die betroffenen Versionen von KICS oder dem Bitwarden-CLI bezogen haben, müssen von einer Kompromittierung ausgehen. Sophos empfiehlt folgende Schritte: Betroffene Versionen sofort deinstallieren, Container-Images neu bauen und Caches leeren. GitHub- und npm-Tokens, SSH-Schlüssel sowie Cloud-Zugangsdaten (AWS, Azure, GCP), die auf den betroffenen Maschinen vorhanden waren, müssen umgehend ungültig gemacht und neu erstellt werden.
GitHub-Accounts müssen auf unerwartete neue Repositories oder manipulierte Workflow-Dateien (YAML-Dateien im Verzeichnis .github/workflows) geprüft werden. Falls Tools wie Cursor oder Claude genutzt werden, müssen die zugehörigen Konfigurationsdateien und darin enthaltene Secrets als kompromittiert betrachtet werden. Multi-Faktor-Authentifizierung sollte für alle Paket-Registries und Cloud-Konten zwingend vorgeschrieben werden, um den Missbrauch gestohlener Tokens zu erschweren. Die Vorfälle verdeutlichen, dass die Absicherung der Software-Lieferkette nicht mehr nur die Abhängigkeiten im Code (Libraries), sondern die gesamte Infrastruktur der Entwickler umfassen muss.
