SchwachstellenHackerangriffeCyberkriminalität

Trellix-Quellcode gehackt: Neue Warnung vor Angriffen auf Sicherheitshersteller

Von CyberDeutsch Redaktion
Trellix-Quellcode gehackt: Neue Warnung vor Angriffen auf Sicherheitshersteller
Zusammenfassung

Der Cybersecurity-Anbieter Trellix hat kürzlich offenbart, dass Angreifer unbefugten Zugriff auf Teile seines Quellcode-Repositorys erlangt haben – ein Vorfall, der die wachsende Bedrohung durch Supply-Chain-Anschläge auf die Sicherheitsindustrie unterstreicht. Das Unternehmen teilte minimal Details mit und versicherte, dass keine Hinweise auf eine Kompromittierung des Quellcode-Release- oder Vertriebsprozesses vorliegen. Dieser Verstoß folgt auf ähnliche Anschläge von Threat-Gruppen wie TeamPCP, die Open-Source-Sicherheitstools manipulierten, sowie auf Breaches bei F5 Networks, Okta und Lastpass. Die Gefahr besteht darin, dass Angreifer durch Zugriff auf den Quellcode von Sicherheitsprodukten deren Architektur und Schwachstellen verstehen können, um gezielt Umgehungen zu entwickeln. Besonders kritisch wäre der Zugang zu CI/CD-Secrets, Signaturschlüsseln oder Veröffentlichungszeugnissen gewesen. Für deutsche Unternehmen und Behörden, die Trellix-Produkte nutzen, bedeutet dies potenzielles Risiko, wenn Angreifer in der Lage waren, den Build- oder Release-Prozess zu kompromittieren. Die laufende Untersuchung soll weitere Erkenntnisse liefern, jedoch bleiben kritische Fragen offen.

Die Offenbarung von Trellix folgt einem besorgniserregenden Trend in der Cybersecurity-Branche: Angreifer konzentrieren sich verstärkt auf Quellcode-Repositories von Sicherheitsanbietern, um Zugang zu Vertriebsketten zu gewinnen und Millionen von Endnutzern zu gefährden.

Trellix bestätigte zwar, sofort mit forensischen Experten zusammenzuarbeiten und die Behörden einzuschalten. Doch erhebliche Fragen bleiben offen: Wo genau liegt das Repository? Wie gelangten die Angreifer hinein? Und wer steckt hinter dem Angriff? Das Unternehmen verweigerte weitere Kommentare.

Die Trellix-Sicherheitslücke ist nicht isoliert. Im März zeigte sich eine ähnliche Situation bei Trivy (Aqua Security) und KICS (CheckMarx), zwei Open-Source-Sicherheitstools. Die Hacker-Gruppe TeamPCP manipulierte dort GitHub-Actions-Workflows, um vergiftete Versionen dieser Tools zu verbreiten. Dabei erbeuteten die Angreifer CI/CD-Geheimnisse — also Anmeldedaten, SSH-Schlüssel, Signaturschlüssel und GitHub-Tokens — und nutzten diese für Kettenangri­ffe auf andere Organisationen.

Ob TeamPCP auch hinter Trellix steckt, ist unklar. Allerdings zeigen andere Fälle das Ausmaß: 2025 gelangte ein vermeintlicher Nationalstaat-Angreifer bei F5 Networks an Entwicklungsdaten des flagship-Produkts BIG-IP. 2022 erlitten Okta und LastPass ähnliche Vorfälle.

Raphael Silva von Aikido Security warnt: Das Risiko hängt davon ab, was die Angreifer konkret erbeuteten und ob sie den Build- oder Release-Prozess beeinflussen konnten. Im schlimmsten Fall hätten sie Zugang zu CI/CD-Systemen, Signaturschlüsseln oder Publishing-Credentials — also die Fähigkeit, manipulierte Software an Millionen Endnutzer auszuliefern.

Derzeit gibt Trellix Entwarnung: Kein Hinweis auf solchen erweiterten Zugriff. Dennoch warnt Isaac Evans (Semgrep): Selbst Read-Only-Zugriff auf Quellcode offenbart die Architektur von Sicherheitsprodukten — wo Sicherheitskontrollen sitzen, wie Detektionen funktionieren. Diese Information verschafft Angreifern erhebliche Vorteile.

Eine unbequeme Wahrheit: Auch nach Erkennung ist es nicht trivial, Angreiferzugriff vollständig zu entfernen. Der Trivy-Vorfall zeigte, dass selbst nach Benachrichtigung der Verteidiger noch Manipulation möglich war. Deutsche Unternehmen sollten ihre Trellix-Systeme kritisch überprüfen — und das BSI wird voraussichtlich Empfehlungen folgen lassen.

Ähnliche Artikel