LGR CMS

Tag: Red Hat

  • Miasma-Wurm: Lieferketten-Angriff Miasma 57 npm-Pakete in 2 Stunden kompromittiert erschüttert Entwickler-Ökosystem

    Miasma-Wurm: Lieferketten-Angriff Miasma 57 npm-Pakete in 2 Stunden kompromittiert erschüttert Entwickler-Ökosystem

    LGR Reutlingen – 05 Juni 2026 | Der Lieferketten-Angriff Miasma 57 npm-Pakete in 2 Stunden kompromittiert hat die Sicherheitslandschaft der Open‑Source‑Entwicklung erneut ins Zentrum der Diskussion gerückt. In weniger als 120 Minuten wurden offizielle npm‑Pakete des Linux‑Spezialisten Red Hat infiltriert, wodurch Angreifer Zugang zu Cloud‑Identitäten und sensiblen Entwickler‑Secrets erlangten. Die Schnelligkeit, mit der sich der selbstverbreitende Wurm über 57 Pakete verbreitete, verdeutlicht, wie stark Lieferketten heute als Angriffspunkte genutzt werden.

    Der Vorfall begann mit einem kompromittierten GitHub‑Konto eines Red‑Hat‑Mitarbeiters, dessen Zugangsdaten bereits seit Monaten im Darknet kursierten. Durch die Manipulation der Konfigurationsdatei eines scheinbar harmlosen npm‑Pakets wurde beim Installationsvorgang bösartiger Code ausgeführt – ein Trick, den die Angreifer als “Phantom Gyp” bezeichnen. Während des Installationsprozesses greift der Code auf die lokale Entwicklungsumgebung zu, sammelt private Schlüssel und Cloud‑Zugangsdaten und leitet sie über verschiedene Kanäle, unter anderem über KI‑Schnittstellen, zu den Angreifern weiter.

    Lieferketten-Angriff Miasma 57 npm-Pakete in 2 Stunden kompromittiert – Technik und Ausbreitung

    Die betroffenen Pakete umfassen unter anderem vulnerabilities-client, tsc-transform-imports und rbac-client. Eines der am stärksten betroffenen SDKs verzeichnet monatlich über 408.000 Downloads, sodass die potenzielle Reichweite des Angriffs enorm ist. Die automatisierte Verbreitung über das npm‑Ökosystem ermöglicht es dem Wurm, innerhalb von Minuten weitere Entwickler‑Rechner zu infizieren, sobald diese das manipulierte Paket installieren.

    Analyse‑Tools von Unternehmen wie GitGuardian zeigen, dass ein durchschnittlicher Entwickler‑Rechner etwa 150 sensible Secrets enthält. Private Schlüssel machen dabei rund 38 % aus, gefolgt von Cloud‑Zugangsdaten. Der Miasma‑Wurm nutzt genau diese Schwachstelle: Sobald ein infiziertes Paket installiert wird, extrahiert das Schadmodul die Secrets aus lokalen Konfigurationsdateien und speichert sie in einer Command‑and‑Control‑Infrastruktur, die über verschlüsselte Kanäle mit den Angreifern kommuniziert.

    Der Vorfall erinnert an den “Shai‑Hulud”‑Wurm aus dem Herbst 2025, der ebenfalls npm‑Pakete als Verbreitungsvektor nutzte. Seitdem haben Sicherheitsforscher eine deutliche Zunahme solcher Lieferkettenangriffe beobachtet. Allein im Mai 2026 waren über 160 npm‑Pakete von einer koordinierten Kampagne betroffen, die zusammen Hunderte Millionen Downloads erreichte.

    Die unmittelbaren Konsequenzen reichen von gestohlenen Cloud‑Identitäten für Google Cloud Platform (GCP) und Microsoft Azure bis hin zu potenziellen Datenlecks in KI‑gestützten Anwendungen. Unternehmen, die stark auf automatisierte CI/CD‑Pipelines setzen, sehen sich nun mit der Aufgabe konfrontiert, ihre Lieferkette zu härten, bevor weitere Schäden entstehen.

    Reaktion von Industrie und Politik

    Als direkte Reaktion kündigten Cisco und NetApp eine engere Zusammenarbeit an, um validierte Infrastruktur‑Lösungen zu entwickeln, die die Cyber‑Resilienz von Entwicklungsumgebungen stärken. Ziel ist es, Sicherheitsfunktionen bereits auf der Speicherebene zu integrieren – etwa durch automatisierte Snapshots oder das sofortige Sperren von Nutzerkonten bei Verdacht auf Ransomware.

    Parallel dazu wird die regulatorische Landschaft schärfer. Seit Anfang des Jahres müssen Unternehmen aus regulierten Sektoren wie Energie, Gesundheit und verarbeitendem Gewerbe das NIS‑2‑Umsetzungsgesetz befolgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verlangt die Registrierung von Lieferketten‑Risiken und die Implementierung eines umfassenden Risikomanagements. Ein neues Playbook, das auf NIS‑2‑Konformität ausgerichtet ist, bietet eine Checkliste und Tools für sofortige Gegenmaßnahmen – von Secrets‑Management bis zu automatisierten Incident‑Response‑Workflows.

    Praktische Maßnahmen für Entwickler und Unternehmen

    • Secrets‑Management stärken: Verwenden Sie dedizierte Vault‑Lösungen und vermeiden Sie das Speichern von privaten Schlüsseln im Code‑Repository.
    • Package‑Signing prüfen: Setzen Sie auf signierte npm‑Pakete und verifizieren Sie die Signatur vor der Installation.
    • CI/CD‑Pipelines isolieren: Führen Sie Builds in sandboxed Umgebungen aus und beschränken Sie Netzwerkzugriffe während des Installationsprozesses.
    • Automatisierte Scans: Integrieren Sie Tools wie GitGuardian, Snyk oder Trivy in die Entwicklungsphase, um verdächtige Änderungen an Paketen sofort zu erkennen.
    • Regelmäßige Audits: Führen Sie vierteljährliche Audits Ihrer Lieferkette durch und aktualisieren Sie Abhängigkeiten konsequent.

    Ein weiterer Trend ist die Integration von Sicherheitsrichtlinien in Browser‑Umgebungen. Microsoft Edge for Business ermöglicht es Unternehmen, die Nutzung von KI‑Tools und autonomen Agenten zu kontrollieren, was das Risiko von Datenabfluss über Browser‑Extensions reduziert.

    Ausblick: KI‑gestützte Bedrohungen

    Forschungsteams der Universität Toronto und von ServiceNow Research warnen vor einer neuen Generation von Bedrohungen, bei denen KI‑Modelle eigenständig Exploits für noch unbekannte Schwachstellen generieren. In kontrollierten Testumgebungen konnten solche KI‑erzeugten Würmer eine Infektionsrate von über 70 % erreichen. Die Kombination aus schneller Lieferketten‑Exploitation und KI‑gesteuerter Exploit‑Entwicklung könnte die Angriffsfläche exponentiell vergrößern.

    Für Unternehmen bedeutet das, nicht nur technische, sondern auch organisatorische Maßnahmen zu ergreifen. Sicherheitskulturen, die Entwickler frühzeitig in die Verantwortung für ihre Dependencies einbinden, sind entscheidend. Gleichzeitig sollten Unternehmen ihre Incident‑Response‑Teams mit KI‑unterstützten Analyse‑Tools ausstatten, um Bedrohungen in Echtzeit zu erkennen und zu neutralisieren.

    Der Lieferketten-Angriff Miasma 57 npm-Pakete in 2 Stunden kompromittiert ist ein Weckruf, der die Verwundbarkeit moderner Software‑Entwicklung offenlegt. Während die unmittelbaren Schäden bereits spürbar sind – gestohlene Cloud‑Zugangsdaten, manipulierte Entwicklungsumgebungen und ein wachsender Vertrauensverlust in Open‑Source‑Ökosysteme – bietet die Krise gleichzeitig die Chance, Lieferketten‑Sicherheit grundlegend zu überarbeiten. Nur durch eine Kombination aus technischer Härtung, regulatorischer Klarheit und einer Kultur der kontinuierlichen Vigilanz können Unternehmen die wachsende Gefahr von automatisierten, KI‑gestützten Angriffen nachhaltig eindämmen.

  • IBM and Red Hat stärken Open‑Source‑Sicherheit mit 5‑Milliarden‑Projekt Lightwell und Glasswing‑Kooperation

    IBM and Red Hat stärken Open‑Source‑Sicherheit mit 5‑Milliarden‑Projekt Lightwell und Glasswing‑Kooperation

    LGR Reutlingen – 04 Juni 2026 | IBM and Red Hat Launch 5B Project Lightwell, Join Anthropic8217s Project Glasswing ist das offizielle Statement, das in den letzten Tagen für Aufsehen in der IT‑Sicherheitsbranche gesorgt hat. Mit einem kombinierten Investitionsvolumen von fünf Milliarden US‑Dollar stellen die beiden Technologie‑Giganten ein umfassendes Programm vor, das Open‑Source‑Software über ihren gesamten Lebenszyklus hinweg absichern soll – von der ersten Code‑Zeile bis zur produktiven Nutzung in Unternehmensumgebungen. Gleichzeitig haben sie sich dem branchenübergreifenden Initiative‑Konsortium Glasswing von Anthropic angeschlossen, das sich zum Ziel gesetzt hat, kritische Schwachstellen in weit verbreiteten Komponenten systematisch zu identifizieren und zu beheben.

    Der Kern von Project Lightwell liegt in einer neu geschaffenen Sicherheits‑Clearingstelle, die als Bindeglied zwischen Unternehmen, Open‑Source‑Communities und den internen Engineering‑Teams von IBM und Red Hat fungiert. Dort fließen Echtzeit‑Daten zu entdeckten Schwachstellen aus produktiven Systemen ein, werden durch KI‑gestützte Analysen validiert und anschließend als geprüfte Patches an Kunden ausgeliefert. Das Modell verspricht, die bislang fragmentierten Prozesse zur Schwachstellen‑Behandlung zu vereinheitlichen und die Zeit von Entdeckung bis zur Behebung drastisch zu verkürzen.

    IBM and Red Hat Launch 5B Project Lightwell, Join Anthropic8217s Project Glasswing – ein strategischer Turn‑around für Open‑Source‑Sicherheit

    Der Schritt ist nicht nur ein finanzielles Signal, sondern auch ein klares Bekenntnis zur offenen Zusammenarbeit. IBM nutzt bereits mehr als 62 000 Open‑Source‑Pakete und verfügt über tiefes Know‑how in über 10 000 Projekten, von Linux über Kubernetes bis hin zu Kafka, Ansible und Terraform. Red Hat, als führender Anbieter von Enterprise‑Linux‑Distributionen, ergänzt dieses Know‑how um umfangreiche Erfahrungen im Betrieb und der Wartung von Open‑Source‑Stacks in großem Maßstab.

    Durch die Erweiterung des bisherigen Modells, das bislang nur kuratierte Plattformkomponenten umfasste, sollen künftig unabhängige Bibliotheken, Sprach‑Toolchains, KI‑Frameworks und Daten‑Streaming‑Plattformen in den Schutzbereich einbezogen werden. Damit reagiert IBM and Red Hat Launch 5B Project Lightwell, Join Anthropic8217s Project Glasswing auf die Realität, dass Unternehmen heute ein breites Spektrum an Community‑Software einsetzen, das weit über die von den Herstellern gepflegten Pakete hinausgeht.

    KI‑gestützte Analyse und automatisierte Patch‑Entwicklung

    Ein zentrales Element von Project Lightwell ist die Integration von KI‑Werkzeugen, die massive Code‑Mengen analysieren, potenzielle Schwachstellen priorisieren und automatisierte Korrekturen vorschlagen können. Die KI unterstützt die Engineering‑Teams bei der schnellen Bewertung von Sicherheits‑Reports, der Generierung von Proof‑of‑Concept‑Exploits zur Verifikation und der Erstellung von Produktions‑ready Patches, die unmittelbar in CI/CD‑Pipelines der Kunden integriert werden können.

    Die ersten Anwender des Programms gehören zu den größten Finanzinstituten der Welt – Bank of America, JPMorgan Chase, Goldman Sachs, Citi, Visa und weitere – und testen bereits die neuen Prozesse. Diese frühen Piloten liefern wertvolle Daten, wie sich die KI‑unterstützte Vorgehensweise in stark regulierten Umgebungen bewährt und welche Anpassungen nötig sind, um branchenspezifische Compliance‑Anforderungen zu erfüllen.

    Synergien mit Project Glasswing

    Nur wenige Tage vor der Ankündigung von Project Lightwell hatte IBM die Mitgliedschaft in Anthropic’s Project Glasswing bestätigt. Das Konsortium bringt führende Sicherheits‑ und Technologie‑Unternehmen zusammen, um gemeinsam Schwachstellen in kritischer Software zu identifizieren und zu beheben. IBM nutzt die Plattform, um Erkenntnisse aus eigenen Untersuchungen zu teilen, koordinierte Offenlegungen zu ermöglichen und gleichzeitig Rückmeldungen aus der Community in die Weiterentwicklung der eigenen Produkte einfließen zu lassen.

    Rob Thomas, Senior Vice President Software und Chief Commercial Officer bei IBM, betont, dass die Kombination aus interner Ressourcen‑Skalierung und branchenweiter Zusammenarbeit ein „ökosystemstarkes“ Sicherheitsmodell ermöglicht. Durch die enge Verzahnung von Project Lightwell und Project Glasswing soll ein Lern‑ und Verbesserungszyklus entstehen, der das gesamte Open‑Source‑Ökosystem resilienter macht.

    Die Initiative kommt zu einem Zeitpunkt, an dem KI‑basierte Angriffe zunehmend an Komplexität gewinnen. Anthropic hat in seinem Mythos‑Preview‑Modell fast 3 900 hoch- bzw. kritisch‑bewertete Schwachstellen in Open‑Source‑Software identifiziert – ein klares Indiz dafür, dass automatisierte Methoden sowohl von Angreifern als auch von Verteidigern eingesetzt werden.

    Implikationen für die Branche

    Für Unternehmen bedeutet das neue Sicherheits‑Framework mehr Transparenz und schnellere Reaktionszeiten. Durch die standardisierten, KI‑gestützten Prozesse können Organisationen nicht mehr ausschließlich auf interne Sicherheitsteams setzen, sondern profitieren von einer kollektiven Wissensbasis, die kontinuierlich aktualisiert wird. Gleichzeitig reduziert die zentrale Clearingstelle das Risiko von „Patch‑Fragmentierung“, bei der unterschiedliche Kunden unterschiedliche Versionen von Sicherheits‑Updates erhalten.

    Auf der Ebene der Lieferkette stärkt das Vorgehen das Vertrauen in Open‑Source‑Komponenten, die inzwischen das Rückgrat von über 90 % der Fortune‑500‑Unternehmen bilden. Der Fokus auf upstream‑Maintenance und koordinierte Offenlegung sorgt dafür, dass Sicherheitslücken nicht nur im Unternehmens‑Umfeld, sondern bereits im Quellcode‑Repository behoben werden, bevor sie in Produktion gelangen.

    Aus Sicht der Wettbewerber könnte das Modell einen neuen Standard setzen, dem sich andere Anbieter anschließen müssen, um im KI‑getriebenen Sicherheitsmarkt mitzuhalten. Die Kombination aus massivem Kapital, KI‑Tools und einem globalen Netzwerk von über 20 000 Ingenieuren stellt ein starkes Signal dar, dass IBM und Red Hat bereit sind, ihre Führungsposition im Bereich Enterprise‑Open‑Source‑Sicherheit zu festigen.

    Abschließend lässt sich sagen, dass IBM and Red Hat Launch 5B Project Lightwell, Join Anthropic8217s Project Glasswing nicht nur ein einzelnes Projekt, sondern ein umfassender Strategiewechsel ist, der die Art und Weise, wie Unternehmen Open‑Source‑Sicherheit wahrnehmen und managen, grundlegend neu definiert. Die enge Verzahnung von KI, großflächigem Engineering und branchenübergreifender Kooperation könnte in den kommenden Jahren zu einer deutlich stabileren und transparenteren Software‑Landschaft führen.

  • IBM und Red Hat bündeln fünf Milliarden Dollar für Open-Source-Sicherheit

    IBM und Red Hat bündeln fünf Milliarden Dollar für Open-Source-Sicherheit

    LGR Reutlingen – 30 Mai 2026 | IBM und Red Hat haben eine ehrgeizige Initiative ins Leben gerufen, um die Sicherheitslandschaft der Open-Source-Software grundlegend zu verändern. Unter dem Namen Project Lightwell stellen die beiden Technologiegiganten fünf Milliarden Dollar zur Verfügung, um eine zentrale Anlaufstelle zur Identifizierung und Behebung von Schwachstellen in quelloffener Software zu schaffen. Diese Initiative kommt zu einem Zeitpunkt, an dem über 90 Prozent der Fortune-500-Unternehmen auf Open-Source-Komponenten angewiesen sind, was die Notwendigkeit einer robusten Sicherheitsinfrastruktur unterstreicht.

    Die technologische Entwicklung, insbesondere im Bereich der Künstlichen Intelligenz (KI), hat die Erkennung von Sicherheitslücken erheblich beschleunigt. Jüngste Berichte zeigen, dass KI-Modelle wie Mythos Preview allein in Open-Source-Code fast 3.900 Sicherheitslücken mit hohem oder höchstem Schweregrad identifiziert haben. Dies verdeutlicht die Dringlichkeit, die Sicherheitsstandards im Open-Source-Bereich zu erhöhen.

    Das Herzstück von Project Lightwell ist eine vertrauenswürdige Clearingstelle, die als Vermittlungsrahmen zwischen Unternehmen und der Open-Source-Community fungiert. Unternehmen haben hier die Möglichkeit, Sicherheitsprobleme vertraulich zu melden und erhalten geprüfte Patches, die speziell für ihre Produktionsumgebungen optimiert sind. Diese Korrekturen können anschließend geordnet in die jeweiligen Upstream-Projekte zurückgeführt werden, was eine nachhaltige Verbesserung der Software-Sicherheit ermöglicht.

    IBM und Red Hat setzen dabei auf ein globales Ingenieurteam von über 20.000 Fachleuten, unterstützt durch KI-gestützte Analyse- und Prüfwerkzeuge. Laut Arvind Krishna, dem Chairman und CEO von IBM, ist Open Source das Rückgrat der heutigen digitalen Wirtschaft. Mit Project Lightwell tragen die beiden Unternehmen dazu bei, ein neues Branchenmodell zu definieren, das KI, technisches Fachwissen und vertrauensvolle Zusammenarbeit vereint.

    Die Zusammenarbeit mit sogenannten Early Adopters hat bereits begonnen. Zu den ersten Anwendern zählen führende Finanzinstitute wie Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa und Wells Fargo. Die Erkenntnisse aus diesen frühen Einsätzen sollen dazu beitragen, das Modell für komplexe Software-Lieferketten weiterzuentwickeln.

    Das Clearinghouse-Modell umfasst eine Reihe von Kernfunktionen, die darauf abzielen, die Sicherheitslandschaft zu verbessern:

    • Vertrauliche Meldung und koordinierte Behebung von Sicherheitslücken
    • Validierte Patches, optimiert für Produktionsumgebungen
    • Geordnete Weitergabe von Korrekturen an Upstream-Projekte
    • Lebenszyklusmanagement auf Unternehmensniveau

    IBM greift auf ein bestehendes Fundament zurück und nutzt derzeit mehr als 62.000 Open-Source-Pakete, in denen das Unternehmen dokumentiertes Fachwissen in über 10.000 davon vorweisen kann. Technologien wie Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink und Cassandra sind Teil des bestehenden Ökosystems. Mit Project Lightwell erweitern IBM und Red Hat ihren Ansatz auf unabhängige Bibliotheken, Sprach-Toolchains, KI-Frameworks sowie Daten-Streaming-Plattformen – Bereiche, die bislang nicht systematisch abgedeckt wurden.

    Im Gegensatz zu anderen Technologieunternehmen, die den Einsatz von KI oft mit Personalabbau in Verbindung bringen, verfolgen IBM und Red Hat einen anderen Ansatz. Ihre KI-Werkzeuge sollen die Ingenieurskapazitäten ergänzen und skalieren, nicht ersetzen. Der Fokus liegt dabei auf der automatisierten Triage und Priorisierung von Schwachstellenmeldungen sowie der Validierung von Patches in großem Maßstab. Erkenntnisse aus externen Initiativen wie dem Project Glasswing von Anthropic sowie Trust Access for Cyber von OpenAI fließen ebenfalls in das Projekt ein.

    Mit Project Lightwell wird auch den Sicherheitsprioritäten staatlicher Stellen Rechnung getragen, die auf eine stärkere Absicherung digitaler Infrastrukturen drängen. Diese Initiative könnte somit nicht nur die Sicherheit in der Unternehmens-IT verbessern, sondern auch das Vertrauen in Open-Source-Technologien stärken und deren Verbreitung fördern. Für weitere Informationen über Project Lightwell können Interessierte die offizielle IBM-Website besuchen.