Ein einziger Phishing-Betrug auf einen Entwickler hat eine der schwersten Software-Supply-Chain-Attacken ausgelöst. Zeitgleich trifft eine Voice-Phishing-Kampagne Großkonzerne wie Air France-KLM und Adidas über deren Salesforce-Systeme.

Die Angriffe zeigen: Selbst ausgeklügelte Cyber-Attacken beginnen oft mit simplen Betrugsmaschen gegen Menschen. In den letzten 24 Stunden wurden Details einer massiven Kompromittierung des JavaScript-Ökosystems bekannt, die ihren Ursprung in gestohlenen Entwickler-Zugangsdaten hat.

Verseuchte Software-Pakete erreichen zwei Milliarden Downloads

Ein dreister Phishing-Angriff auf den Open-Source-Entwickler Josh "qix" Junon hat sich zu einer beispiellosen Attacke auf die Softwarelieferkette entwickelt. Der Entwickler fiel am 8. September 2025 auf eine täuschend echte E-Mail herein, die angeblich vom npm-Support stammte.

Die perfide Masche: Die Betrüger lockten Junon auf eine gefälschte Website, wo er seine Zugangsdaten und seinen Zwei-Faktor-Authentifizierungstoken eingab. Mit diesem Zugang veröffentlichten die Angreifer manipulierte Versionen von mindestens 18 beliebten Software-Paketen.

Besonders brisant: Die kompromittierten Bibliotheken wie "chalk" und "debug" verzeichnen zusammen zwei Milliarden wöchentliche Downloads. Sicherheitsexperten von Aikido Security entdeckten, dass der eingeschleuste Code Kryptowährungsgeschäfte und Web3-Wallet-Aktivitäten abfängt, um Transaktionen auf Konten der Angreifer umzuleiten.

Telefon-Betrüger kapern Salesforce-Systeme von Weltkonzernen

Parallel läuft eine hochprofessionelle Voice-Phishing-Kampagne gegen Salesforce-Kunden. Die oft mit der berüchtigten "ShinyHunters"-Gruppe in Verbindung gebrachten Cyber-Kriminellen geben sich am Telefon als IT-Support aus.

Das Vorgehen: In gezielten Anrufen überreden sie Mitarbeiter, einer schädlichen Drittanbieter-Anwendung Zugang zu den Firmendaten zu gewähren. Diese Taktik erwies sich als verheerend erfolgreich.

Prominente Opfer der Kampagne sind:
- Air France-KLM
- Adidas
- Chanel
- Pandora
- Google

Die Angreifer erbeuteten Namen, Kontaktdaten und weitere persönliche Informationen, die nun für hochpräzise Phishing-Attacken missbraucht werden können. Air France-KLM und andere betroffene Unternehmen warnen bereits ihre Kunden vor verdächtigen E-Mails und Anrufen.

Menschlicher Faktor bleibt Schwachstelle Nummer eins

Beide Vorfälle verdeutlichen einen besorgniserregenden Trend: 75 Prozent aller Phishing-Angriffe nutzen laut Cisco Talos bereits kompromittierte oder vertrauenswürdige Accounts. Die Kriminellen haben ihre Strategie vom "Einbrechen" zum "Einloggen" mit gültigen Zugangsdaten gewandelt.

Was macht diese Angriffe so gefährlich? Die bösartigen Aktivitäten sind für Sicherheitsteams kaum von normalem Nutzerverhalten zu unterscheiden. Experten warnen vor einer zunehmenden "Industrialisierung der Cyberkriminalität", bei der auch Künstliche Intelligenz für überzeugendere Phishing-Köder eingesetzt wird.

Anzeige: Phishing wird immer persönlicher – und landet oft zuerst auf dem Smartphone. Möchten Sie WhatsApp, Online-Banking und Ihre Daten ohne teure Zusatz-Apps absichern? Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Android – mit einfachen Schritt-für-Schritt-Anleitungen. Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone – jetzt gratis anfordern

Aufräumen nach dem Cyber-Sturm

Der JavaScript-Community steht eine aufwendige Bereinigung bevor. Während die schadhaften Paket-Versionen entfernt werden, läuft die Bewertung des vollständigen Schadens noch. Entwickler weltweit müssen ihre Abhängigkeiten überprüfen und selbst scheinbar offizielle Kommunikation kritisch hinterfragen.

Für Verbraucher, deren Daten bei den Salesforce-Angriffen gestohlen wurden, bleibt das Risiko gezielter Phishing-Attacken über E-Mail, SMS und Telefon monatelang erhöht. Sicherheitsexperten raten zu gesundem Misstrauen gegenüber unaufgeforderten Kontaktversuchen mit Zeitdruck.

Anzeige: Wer von den aktuellen Datenlecks betroffen ist, sollte besonders vorsichtig mit SMS- und Messenger-Links sein. Ein kostenloser Leitfaden zeigt konkrete Einstellungen und Prüfungen, mit denen Sie Ihr Android in Minuten deutlich sicherer machen – ohne zusätzliche Kosten. Inklusive Checklisten für geprüfte Apps, automatische Updates und sichere Bildschirmsperre. Jetzt kostenloses Android-Sicherheitspaket sichern

Die jüngsten Angriffe unterstreichen: Unternehmen müssen über traditionelle Perimeter-Sicherheit hinausgehen und Zero-Trust-Modelle implementieren, bei denen standardmäßig kein Nutzer oder Gerät vertraut wird.