Malware

Angreifer haben einen neuen Weg gefunden, um Malware in Browsererweiterungen ein- und an Sicherheitschecks vorbeizuschleusen. So zeigt eine aktuelle Kampagne, wie in mehreren Firefox-Erweiterungen mit zahlreichen Downloads Schadcode dort versteckt wurde, wo ihn kaum jemand vermutete – direkt in der Bilddatei des Extension-Logos.

Notepad++ hat eine Sicherheitslücke im eigenen Update-Mechanismus geschlossen, nachdem Forscher Hinweise auf gehijackten Datenverkehr gefunden hatten. Eine neue Signaturprüfung soll künftig verhindern, dass manipulierte Dateien unbemerkt installiert werden.

Ein unscheinbarer Trick in Windows-Verknüpfungen hat jahrelang hochkomplexe Angriffe ermöglicht – und wurde von Microsoft zunächst nicht als sicherheitsrelevant eingestuft. Nun zeigt sich: Die Schwachstelle CVE-2025-9491 ist brisanter als gedacht. Während Microsoft das Problem still entschärft, legt ein unabhängiger Anbieter eine deutlich restriktivere Gegenmaßnahme vor.

In Microsoft Teams klafft eine Sicherheitslücke: Über den B2B-Gastzugang können Angreifer Nutzende in fremde, ungeschützte Tenants locken – und dort sämtliche Defender-Schutzmechanismen aushebeln. Damit entsteht ein riskanter Angriffsweg, der allein durch Standardfunktionen von Teams möglich wird.

Angreifer nutzen KI-Modelle inzwischen nicht mehr nur zur Produktivitätssteigerung, sondern setzen sie direkt in Schadsoftware ein. Erste Malware-Familien wie PROMPTFLUX oder PROMPTSTEAL greifen aktiv auf KI-Systeme zu, um ihr Verhalten während der Laufzeit zu verändern oder neue Angriffsbefehle zu erzeugen.

Ein neu entdecktes Schadprogramm mit dem Namen "GlassWorm" trifft Entwickler-Ökosysteme: Unsichtbarer Code in VS-Code-Erweiterungen, eine dezentrale Kommando-und-Kontroll-Infrastruktur über die Solana-Blockchain und umfangreiche Fernzugriffs-Funktionen verwandeln infizierte Arbeitsstationen in schwer zu stopfende Angriffs- und Proxy-Knoten.

Sicherheitsforscher sind auf eine neue Angriffstechnik gestoßen, bei der Schadcode über den Browser-Cache auf Zielsysteme gelangt – ganz ohne Datei-Download oder Internetkommunikation. Die Methode erinnert an die bekannten ClickFix-Kampagnen, geht jedoch einen Schritt weiter: Statt ein Skript aus dem Netz nachzuladen, nutzt sie den Browser-Cache, um manipulierte Daten unbemerkt lokal zu speichern.

Ein weitreichender Angriff auf das npm-Ökosystem sorgt derzeit für Unruhe in der Entwickler-Community. Mehr als 40 Pakete, darunter das weit verbreitete "@ctrl/tinycolor" mit über zwei Millionen wöchentlichen Downloads, wurden kompromittiert. Der Vorfall zeigt eindrücklich, wie professionell und automatisiert Angriffe auf die Software-Lieferkette inzwischen ablaufen.

Ein gezielter Phishing-Angriff auf einen Maintainer hat weitreichende Folgen für das npm-Ökosystem: 20 weit verbreitete Pakete wurden mit Schadcode infiziert. Betroffen sind Bibliotheken, die wöchentlich Milliardenfach heruntergeladen werden und in zahlreichen Projekten zum Einsatz kommen. Die eingeschleuste Malware zielt insbesondere auf den Diebstahl von Kryptowährungen ab.

Schadsoftware enttarnt sich künftig vielleicht selbst – zumindest, wenn es nach Microsoft geht. Mit Project Ire stellt das Unternehmen eine KI vor, die Malware ohne menschliche Hilfe analysiert und klassifiziert. Dabei setzt das System auf Techniken, die bislang nur erfahrene Sicherheitsexperten beherrschten.