Entwickler-Tools als neue Angriffsfläche

Entwickler-Tools als neues Angriffsziel

Sophos X-Ops, das Advanced-Threat-Research-Team des Unternehmens, sieht in dieser Aktivität einen Hinweis darauf, dass Angreifer zunehmend nicht nur Software-Abhängigkeiten, sondern auch das Vertrauen in Entwickler-Werkzeuge selbst ins Visier nehmen.

„Developer-Toolchains entwickeln sich immer stärker zu einem attraktiven Angriffsziel, weil dort privilegierte Zugriffe, Automatisierung und sensible Zugangsdaten zusammenlaufen", sagt Michael Veit, Cybersicherheits-Experte bei Sophos. „Bemerkenswert ist, dass nun offenbar auch Konfigurationen von KI-Assistenzsystemen gezielt mitgesammelt werden. Das deutet auf eine sich erweiternde Angriffsfläche hin."

Supply-Chain-Risiken mit größerer Reichweite

Aus Sicht von Sophos ist dabei entscheidend: Solche Angriffe enden häufig nicht beim Diebstahl von Zugangsdaten. Kompromittierte Tokens oder manipulierte Workflows können zum Ausgangspunkt für weiterreichende Angriffe auf Entwicklungs- und Produktionsumgebungen werden.

Hinzu kommt, dass beide Angriffe dieselbe Command-and-Control-Domain nutzten – ein Indiz, das auf einen koordinierten Akteur oder eine gemeinsam gesteuerte Kampagne hindeutet.

Die Vorfälle unterstreichen aus Sicht von Sophos fünf zentrale Handlungsfelder:

• Entwickler-Tools und CI/CD-Pipelines als eigene Angriffsfläche absichern
• Tokens und Secrets konsequent rotieren und überwachen
• Software-Lieferketten auf Manipulationen prüfen
• KI-gestützte Entwicklerumgebungen in Sicherheitsmodelle einbeziehen
• Multi-Faktor-Authentifizierung (MFA) für Paket-Registries und Cloud-Konten aktivieren, wo dies noch nicht erfolgt ist.

Weitere Einzelheiten beschreibt Sophos auf seinem Blog (in englischer Sprache): https://www.sophos.com/de-de/blog/supply-chain-attacks-hit-checkmarx-and-bitwarden-developer-tools