Thought Leadership
Eine neue Malware-Welle nutzt Google Antigravity als Tarnung für Keylogger und Clipboard-Hijacker.
Die rasante Entwicklung von künstlicher Intelligenz hat eine neue Stufe erreicht: „Agent-first“-Plattformen wie Google Antigravity verändern die Art und Weise, wie Software entwickelt wird. Doch wo innovative Technologien und große Namen wie Google aufeinandertreffen, lassen Sicherheitslücken und Cyberkriminelle nicht lange auf sich warten. Aktuelle Berichte zeigen, dass Antigravity nicht nur das Ziel tiefgreifender Sicherheitsanalysen geworden ist, sondern auch als Tarnung für eine gefährliche Malware-Kampagne missbraucht wird, berichtet Security Week. Entwickler und Unternehmen stehen nun vor der Herausforderung, die Vorteile autonomer KI-Agenten zu nutzen, ohne die Integrität ihrer Systeme zu opfern.
Antigravity: Das Cockpit für autonome Entwickler
Google Antigravity ist weit mehr als ein herkömmlicher Code-Editor. Es fungiert als eine Art Missionskontrolle für autonome KI-Agenten, die auf der Gemini-Technologie basieren. Entwickler delegieren komplexe, mehrstufige Aufgaben an unabhängige KI-Mitarbeiter, die Code planen, ausführen und verifizieren können. Diese Effizienzsteigerung hat die Plattform in kurzer Zeit populär gemacht. Doch genau diese Popularität hat sie nun in das Fadenkreuz von Sicherheitsforschern und Akteuren der Schattenwirtschaft gerückt.
Die RCE-Schwachstelle: Ausbruch aus der Sandbox
Sicherheitsforscher von Pillar Security haben kürzlich eine kritische Schwachstelle in Antigravity aufgedeckt. Dabei handelt es sich um eine Remote Code Execution (RCE), die es einem Angreifer ermöglichen könnte, aus der gesicherten Sandbox-Umgebung auszubrechen und willkürlichen Code auf dem Host-System auszuführen. Ursache für die Lücke war eine unzureichende Bereinigung von Eingabeparametern (Input Sanitization). Ein Angreifer konnte dadurch Befehle injizieren, die während einer scheinbar harmlosen Dateisuche ausgeführt wurden.
Der Angriff konnte sogar den sogenannten „Secure Mode“ von Antigravity umgehen. Die Forscher demonstrierten, dass eine Infektion über eine indirekte Prompt-Injection möglich ist. Dabei muss der Angreifer nicht einmal das Konto des Nutzers kompromittieren. Es genügt, wenn ein Entwickler eine manipulierte Quelldatei aus einem öffentlichen Repository herunterlädt. In dieser Datei verstecken die Hacker bösartige Kommentare, die vom KI-Agenten gelesen werden. Der Agent interpretiert diese Kommentare als Anweisungen, bereitet das Exploit vor und löst die Code-Ausführung aus. Das passiert alles im Hintergrund, während der Nutzer glaubt, lediglich Code zu sichten. Google hat diese spezifische Lücke glücklicherweise geschlossen, doch der Fall verdeutlicht das prinzipielle Risiko autonomer Systeme.
Die Reputation als Falle: Trojanisierte Installer im Umlauf
Während Sicherheitsforscher technische Lücken stopfen, nutzen Cyberkriminelle den Hype um Antigravity für klassische Social-Engineering-Angriffe. Experten von Malwarebytes warnen vor einer Kampagne, die gezielt Nutzer anspricht, die nach der Antigravity-Plattform suchen. Über eine gefälschte Website mit der Domain google-antigravity(.)com wird ein präparierter Installer verbreitet.
Wer darauf hereinfällt, erlebt eine böse Überraschung: Zwar installiert das Programm tatsächlich die echte Entwicklungsumgebung, um keinen Verdacht zu erregen, doch im Hintergrund werden zwei bösartige PowerShell-Skripte ausgeführt. Diese Skripte dienen als Türöffner für einen hochentwickelten Stealer. Die Malware hat es auf sensible Daten abgesehen: gespeicherte Passwörter, Cookies und Autofill-Daten aus Browsern, Anmeldedaten für Messenger-Dienste, FTP-Clients und Gaming-Plattformen. Besonders lukrativ für die Diebe sind jedoch Krypto-Wallets, die direkt vom infizierten System abgesaugt werden.
Gefährliches Handwerkszeug: Hidden Desktops und Clipboard-Hijacking
Die bei der Antigravity-Kampagne eingesetzte Malware geht weit über den einfachen Datendiebstahl hinaus. Sie enthält Module für das sogenannte Clipboard-Hijacking. Hierbei überwacht die Malware die Zwischenablage des Nutzers und ersetzt beispielsweise eine kopierte Kryptowährungs-Adresse im Moment des Einfügens durch die Adresse des Angreifers. Zudem werden Tastenanschläge (Keylogging) protokolliert, um auch jene Zugangsdaten zu erfassen, die nicht im Browser gespeichert sind.
Das technologisch besorgniserregendste Feature ist jedoch der Aufbau eines „Hidden Desktop“. Die Malware kann einen zweiten, für den Nutzer unsichtbaren Windows-Desktop erstellen. In dieser verborgenen Umgebung kann der Angreifer aktiv arbeiten, sich in Konten einloggen, Transaktionen bestätigen oder Nachrichten versenden, während der eigentliche Nutzer auf seinem Bildschirm nichts Außergewöhnliches bemerkt. Diese Technik macht es extrem schwer, einen aktiven Angriff in Echtzeit zu identifizieren.
Google Play Protect erkennt Malware in der Regel
Neue Tools wie Google Antigravity versprechen enorme Produktivitätsgewinne, bringen aber auch neue Angriffsvektoren wie die indirekte Prompt-Injection mit sich. Für Entwickler gilt: Laden Sie Software ausschließlich über offizielle Kanäle wie die Google Cloud Console herunter und seien Sie misstrauisch gegenüber unbekannten Domains, die populäre Tools anbieten.
Sicherheitstools wie Google Play Protect und moderne EDR-Lösungen (Endpoint Detection and Response) erkennen die aktuelle NGate- oder Antigravity-Malware in der Regel, sofern sie auf dem neuesten Stand sind. Dennoch bleibt der Mensch das wichtigste Glied in der Sicherheitskette. In einer Welt, in der KI-Agenten selbstständig Code schreiben, müssen wir sicherstellen, dass wir die Kontrolle darüber behalten, welche Befehle diese Agenten ausführen und wem wir unsere Identitätsdaten anvertrauen.
