Unsichtbarer Schadcode: Neue Art von Supply Chain-Attacke breitet sich aus

Von |05.05.2026|
IT-Security
Titelbild: Unsichtbarer Schadcode: Neue Art von Supply Chain-Attacke breitet sich aus

Durch die Ausnutzung unsichtbarer Unicode-Zeichen schleusen Angreifer Schadcode in Software-Bibliotheken ein. Die neue Taktik für Supply-Chain-Angriffe wurde kürzlich entdeckt und breitet sich rasant aus.

Stell dir vor, du liest einen Brief und zwischen den sichtbaren Zeilen stehen Sätze, die du nicht sehen kannst, dein Computer aber schon. Ganz ähnlich funktioniert ein neuartiger Supply Chain-Angriff, den Sicherheitsforscher im März 2026 entdeckt haben. Sie registrierten hunderte bösartiger Pakete, die innerhalb von einer Woche in Repositories auf GitHub, NPM und Open VSX eingeschleust worden sind. Ein Blick auf die Mechanismen hinter diesen Angriffen zeigt deutlich, wie sich Supply Chain-Attacken aktuell weiterentwickeln.

Wie der Schadcode unentdeckt bleibt: „Geisterschrift“ im Quellcode

Die Methode hinter den neuartigen Angriffen ist technisch elegant und äußerst wirksam. Sie nutzt einen bestimmten Unicode-Block, der für das menschliche Auge unsichtbar ist. Unicode ist der internationale Standard, der festlegt, wie Computer Buchstaben, Symbole und Zeichen darstellen – von „A“ bis zu tibetischen Schriftzeichen oder Emojis. Darin gibt es auch Zeichen, die für Menschen in Editoren nicht sichtbar sind, aber von Computern als ausführbarer Code interpretiert werden.

Ausgenutzt haben Hacker diese unsichtbaren Unicode-Zeichen, die seit Jahrzehnten Teil des Zeichenstandards sind, zum ersten Mal im Jahr 2024 – und zwar in Prompt Injections. Die Zeichen wurden genutzt, um schädliche Befehle in Prompts zu verstecken und damit in KI-Systeme einzuschleusen. Mittlerweile haben die KI-Systeme jedoch Schutzmaßnahmen dagegen entwickelt. Seitdem hat die „Unicode-Technik“ Einzug in traditionelle Malware gefunden. Und jetzt eben auch in Supply Chain Angriffe.

Legitim wirkende Code-Kontributionen – dank KI

Um den unsichtbaren Schadcode in beliebte Bibliotheken einzuschleusen, verstecken die Cyber-Kriminellen ihn in legitim wirkenden Beiträgen zu Open Source-Projekten. Die Projektinhaber bekommen einen sog. „Pull Request“ – also die Bitte, Änderungen in den Hauptcode zu ziehen. Wenn die Änderungen tatsächlich einen bestehenden Bug beheben oder beispielsweise Fehler in der Dokumentation ausbügeln – also inhaltlich und technisch sauber sind – werden die Beiträge typischerweise von den Projektinhabern angenommen. So funktioniert ganz grundlegend die Entwicklung von Open Source Software.

Doch genau an dieser Stelle werden die Projektinhaber überrumpelt, wenn die manuelle Prüfung des Codes (Code Review) keine Auffälligkeiten zu Tage bringt, da die kritischen Teile nicht sichtbar sind. Die Angreifer nutzen also genau dieses Vertrauensverhältnis aus, das dem Open Source-Ökosystem zugrunde liegt. Mit Hilfe von KI können sie solche Angriffe nun plötzlich skalieren. Die KI hilft ihnen dabei, potenzielle Code-Beiträge zu identifizieren und Lösungen in hoher Qualität bereitzustellen, die im Normalfall von jedem Projektinhaber dankbar angenommen werden.

Vom Geduldsspiel zum automatisierten Angriff in der Fläche

Diese neue Dimension der Skalierbarkeit potenziert das Risikopotenzial von Supply-Chain-Angriffen. Früher war für erfolgreiche Angriffe dieser Art jede Menge Geduld gefragt. Das eindrücklichste Beispiel ist der sogenannte XZ-Utils-Backdoor, der 2024 aufflog. Ein einzelner Angreifer gab sich zwei Jahre lang als scheinbar vertrauenswürdiger Entwickler in einem verbreiteten Linux-Paket aus. Er baute über die Zeit Vertrauen auf, übernahm schrittweise Verantwortung im Projekt, und schleuste am Ende eine Hintertür ein, die OpenSSH-Server auf Millionen von Systemen angreifbar gemacht hätte. Zum Glück wurde sie gerade noch rechtzeitig vor dem breiten Rollout entdeckt.

Die XZ-Utils-Backdoor zeigt, wie handwerklich aufwendig sowie zeit- und ressourcenaufwändig Supply-Chain-Angriffe traditionell waren. Die neue Generation dieser Angriffe ist das Gegenteil davon: Sie sind schnell erstellt, zielen auf eine breite Angriffsfläche, und laufen weitgehend automatisiert ab. Das Open Source-Ökosystem, das gerade durch eine Flut an KI-generiertem Code ohnehin unter Druck steht, steht vor der Herausforderung, neue Sicherheitsmechanismen zu entwickeln.

Welche Sicherheitsmaßnahmen jetzt noch wichtiger werden

Die neue Welle der Supply Chain-Angriffe erzeugt zwar neue Herausforderungen, doch es gibt bereits erste Ansätze, um sie zu kontern:

  • Software Bills of Materials (SBOM)
    Sowohl bei internen Entwicklungen als auch bei entwickelter Software von externen Dienstleistern werden SBOMs als „Zutatenliste“ noch wichtiger. Sie zeigen, welche Bibliotheken die Software nutzt und welche Abhängigkeiten die Software ausweist. So lässt sich erkennen, ob sie möglicherweise durch einen Supply Chain-Angriff kompromittiert wurde.

  • Spezialisierte Code Scanner
    Da klassische Code-Reviews nicht ausreichen, um den unsichtbaren Schadcode zu erkennen, werden neue Scanning-Tools benötigt. Sie müssen in der Lage sein, neuartige Angriffstechniken wie Unicode-Injektionen zu detektieren.

  • Integritätsprüfungen für externe Pakete
    Die neue Angriffswelle zeigt, dass auch in etablierten Quellen wie npm und GitHub große Gefahren lauern können. Paket-Installationen sollten deshalb nie blind vertraut werden. Neben gängigen Maßnahmen wie Integritätsprüfungen ist für Entwicklungsteams zu prüfen, welche Tools und Analysen automatisiert kritische Pakete identifizieren können.

Fazit

Supply Chain-Attacken werden raffinierter und gewinnen durch KI an Tempo und Breite. Das Perfide an den Angriffen ist, dass sie gezielt das Vertrauen im gewachsenen Open Source-Ökosystem ausnutzen. Für die Sicherheit von Software wird ein sorgsames Management der verwendeten Drittbibliotheken und Abhängigkeiten entscheidend. Denn laut dem aktuellen Open Source Security and Risk Analysis Report (OSSRA 2026) enthält nahezu jede Anwendung (98%) auch Open Source-Bestandteile und ist damit für Supply Chain-Angriffe anfällig.

Hier findest du Infos zur 24/7 Überwachung der IT-Systeme und einem zeitgemäßen Schutz der IT-Infrastruktur

Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier.

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren
Mehr Informationen
Evelyn Heinrich / Head of Account Management

Evelyn Heinrich

Head of Account Management

oder ein Account Manager aus ihrem Team melden sich umgehend.