Open-Source-Malware-Risiken: Wie öffentlicher Code zum Spielplatz für Hacker wird

Open-Source-Software treibt die moderne Welt an, doch die Risiken durch Open-Source-Malware wachsen schneller denn je. Hacker zielen zunehmend auf öffentlichen Code ab, um sensible Informationen zu stehlen und Lieferketten zu kompromittieren.

Warum Open Source im Visier steht

Open-Source-Code ist für alle zugänglich – auch für Cyberkriminelle. Mit der Zunahme von Malware schleusen Angreifer heimlich schädlichen Code in öffentliche Repositories ein.

Im zweiten Quartal 2025 stand die Datenexfiltration ganz oben auf der Prioritätenliste der Hacker. Die Angreifer setzen nun direkt auf Entwickler und greifen deren Werkzeuge, Systeme und Cloud-Infrastruktur an.

Laut dem neuesten Bericht von Sonatype entdeckten Forscher 16.279 neue bösartige Codeschnipsel in öffentlichen Repositories. Dazu zählen npm und PyPI, zwei der am weitesten verbreiteten Plattformen in der Softwareentwicklung.

Wie Angreifer öffentlichen Code ausnutzen

Die Landschaft der Open-Source-Malware-Risiken entwickelt sich zu einem Wettrüsten. Hacker verstecken schädliche Skripte in alltäglichen Softwarebibliotheken, die weltweit von Entwicklern genutzt werden.

Das Ziel? Sensible Daten stehlen, darunter:

• .git-Credentials
• AWS-Geheimnisse
• Umgebungsvariablen
• CI/CD-Tokens

Diese Zugangsdaten öffnen Türen zu Cloud-Konten, internen Systemen, APIs und Datenbanken. Sind die Angreifer einmal drin, können sie sich lateral bewegen und umfassendere Angriffe auf die Lieferkette auslösen.

Entwickler im Visier

Im Gegensatz zu üblichen Phishing-Angriffen, die Büroangestellte treffen, konzentriert sich diese Malware auf Entwickler. Hacker wissen, dass Entwickler den Schlüssel zu wertvoller Infrastruktur besitzen.

Sonatype warnt, dass das gezielte Angreifen von Entwicklern das Potenzial für verheerende Sicherheitsverletzungen schafft. Der von ihnen geschriebene Code und die genutzten Werkzeuge können unbemerkt als Waffen von innen heraus genutzt werden.

Bekannte Malware-Kampagnen im Open Source

Mehrere hochkarätige Vorfälle zeigen die wachsenden Open-Source-Malware-Risiken im Jahr 2025:

• CryptoJS-Imitation
  Im April 2025 platzieren Angreifer Malware in npm, getarnt als CryptoJS, eine ehemals populäre Verschlüsselungsbibliothek. Die Malware sammelte Krypto-Wallet-Informationen, Umgebungsvariablen und Datenbankstrings.
• Yeshen-Asia-Kampagne
  Ein mutmaßlicher chinesischer Bedrohungsakteur veröffentlichte ab Ende 2024 mehr als 60 bösartige npm-Pakete, die als Entwickler-Utilities getarnt waren und gestohlene Daten an Infrastruktur mit yeshen.asia-Verbindung leiteten. Ein gefälschtes Paket wurde über 23.000-mal heruntergeladen, bevor es entfernt wurde.
• Aktivität der Lazarus-Gruppe
  Die berüchtigte Lazarus-Gruppe aus Nordkorea wurde mit 107 bösartigen Paketen in nur drei Monaten in Verbindung gebracht. Diese npm- und PyPI-Pakete gaben sich als harmlose Entwickler-Tools aus, exfiltrierten jedoch sensible Daten.

Das große Ganze: Eine wachsende Bedrohung

Der Anstieg der Open-Source-Malware-Risiken ist nicht mehr theoretisch – er findet in großem Umfang statt. Entwickler sind heute die Hauptziele bei Angriffen auf Lieferketten, nicht die Endnutzer.

Dieser Wandel bedroht ganze Organisationen, da gestohlene Zugangsdaten Cloud-Übernahmen und tiefere Eindringlinge ermöglichen. Die Angriffe sind heimlich, ausgeklügelt und oft gut verborgen.

Wie Entwickler sich schützen können

Um sich gegen Open-Source-Bedrohungen zu verteidigen, sollten Entwickler:

• Auf vertrauenswürdige Quellen und gut gepflegte Bibliotheken setzen
• Abhängigkeiten auf verdächtige Updates überwachen
• Automatisierte Tools zur Erkennung bekannter Schwachstellen und Malware einsetzen
• Zugangsdaten regelmäßig wechseln und keine Geheimnisse im Code speichern

Sicherheit muss zur täglichen Praxis werden, nicht nur ein nachträglicher Gedanke.

Fazit

Der Anstieg der Open-Source-Malware-Risiken offenbart die verborgenen Gefahren in öffentlichem Code. Da Angreifer immer aggressiver werden, müssen Entwickler wachsam bleiben und ihr Management von Software-Lieferketten überdenken.

In der heutigen Zeit reicht Vertrauen allein nicht aus. Der Schutz von Code, Zugangsdaten und Infrastruktur ist entscheidend, um Unternehmen und Nutzer sicher zu halten.