KIberblick

KI-Tools im Visier: npm, Fakes und Agent-Lücken

Axios npm kompromittiert, Vidar-Malware in Claude-Forks, OpenClaw-Lücken: Drei aktuelle Angriffe zeigen, was KI-Teams gerade absichern müssen.

6. April 20264 Min. Lesezeit

Drei Vorfälle in wenigen Tagen zeigen, wie sehr KI-Tools zum Angriffsziel geworden sind. Teams, die Claude Code, OpenClaw oder JavaScript-Projekte mit Axios nutzen, sollten jetzt handeln.

Axios npm-Paket kompromittiert

Die Angreifergruppe UNC1069, die Sicherheitsfirmen Nordkorea zuordnen, hat am 31. März 2026 das npm-Paket axios kompromittiert. Der Angriff lief über Social Engineering: Ein Angreifer nahm Kontakt zum Maintainer auf, gab sich als Gründer eines seriösen Unternehmens aus, und erlangte so Zugang zum npm-Account. Die manipulierten Versionen 1.14.1 und 0.30.4 enthielten eine bösartige Abhängigkeit, die den WAVESHAPER.V2-Backdoor auf Windows, macOS und Linux installierte.

Axios wird wöchentlich rund 100 Millionen Mal heruntergeladen und steckt vermutlich in den meisten größeren Node.js- und Frontend-Projekten. Quelle: The Hacker News | Google Cloud Blog

Was zu tun ist: Prüfen, welche Axios-Version installiert ist. Die betroffenen Versionen sind 1.14.1 und 0.30.4. Bei Unsicherheit: npm audit ausführen. Wenn ihr automatisierte Dependency-Updates habt (Renovate, Dependabot), prüft ob euer Lockfile im Zeitraum 31. März 00:21-03:20 UTC aktualisiert wurde.

# Installierte Version prüfen
npm list axios

# Auf Sicherheitsprobleme prüfen
npm audit

Fake Claude-Code-Repos verbreiten Vidar-Infostealer

Als Reaktion auf den Quellcode-Leak vom 31. März sind gefälschte GitHub-Repositories aufgetaucht, die als Claude-Code-Forks mit "entsperrten Enterprise-Features" beworben wurden. Wer dort etwas installiert hat, hat sich den Vidar-Infostealer eingefangen, der Passwörter, Session-Tokens und Krypto-Wallets abgreift, oft kombiniert mit GhostSocks als Proxy-Tool. Die Kampagne ist Teil einer breiteren Operation, die seit Februar 2026 über 25 Software-Marken imitiert. Quelle: BleepingComputer | Bitdefender

Wer betroffen sein könnte: Entwickler, die nach dem Leak eigenständig nach Claude-Code-Alternativen oder Forks gesucht und etwas installiert haben, besonders in den ersten 24-48 Stunden nach dem 31. März.

Was zu tun ist: Nur über den offiziellen Kanal installieren:

npm install -g @anthropic-ai/claude-code

Alle anderen Quellen sind nicht vertrauenswürdig. Wer unsicher ist, ob er betroffen ist, sollte Passwörter und API-Keys rotieren, insbesondere für GitHub, npm und KI-APIs.

OpenClaw: 135.000 exponierte Instanzen

OpenClaw (openclawai.io) ist ein Open-Source-KI-Agent, der innerhalb weniger Wochen auf 250.000 GitHub-Stars kam und damit kurzzeitig das meistgestarnte Projekt auf GitHub war. Diese Verbreitung hat ein ernstes Sicherheitsproblem sichtbar gemacht: Über 135.000 Instanzen waren öffentlich erreichbar, 63 Prozent davon ohne Authentifizierung.

Sicherheitsforscher haben mehrere kritische Schwachstellen identifiziert:

  • WebSocket-Hijacking (CVE-2026-25253, CVSS 8.8): OpenClaw vertraut localhost-Verbindungen implizit. Eine beliebige Webseite kann so eine WebSocket-Verbindung zum lokalen Gateway aufbauen, den Auth-Token stehlen und volle Kontrolle über die Instanz übernehmen.
  • Neun CVEs in vier Tagen: Zwischen dem 18. und 21. März wurden neun Schwachstellen bekannt, darunter ein 9.9-Critical, der es authentifizierten Nutzern erlaubt, Admin-Rechte zu erlangen.
  • Bösartige Marketplace-Skills: Angreifer verteilten 335 manipulierte Skills über ClawHub, den integrierten Marketplace. Die Skills installierten Keylogger (Windows) oder Atomic Stealer (macOS).

Quelle: Dark Reading | Reco.ai

Was zu tun ist: OpenClaw auf die aktuellste Version aktualisieren. Lokale Instanzen nie ohne Authentifizierung betreiben. Firewall-Regeln prüfen, ob der Gateway-Port von außen erreichbar ist. ClawHub-Skills nur aus verifizierten Quellen installieren.

Das Muster dahinter

Alle drei Vorfälle folgen demselben Muster: KI-Tools werden schnell populär, die Sicherheitsinfrastruktur hält nicht Schritt, und Angreifer nutzen genau diese Lücke. Das ist kein KI-spezifisches Problem, aber KI-Tools ziehen gerade besonders viel Aufmerksamkeit auf sich und damit auch mehr Angreifer.

Die grundlegenden Gegenmaßnahmen sind dieselben wie bei jedem anderen Tooling: Installationsquellen prüfen, Dependency-Versionen im Blick behalten, lokale Services nicht ohne Authentifizierung betreiben.