Mehrere jüngere Vorfälle zeigen das Muster. Im März 2026 übernahmen nordkoreanische Akteure das Konto eines Maintainers der weit verbreiteten npm-Bibliothek Axios und veröffentlichten zwei bösartige Versionen. Da Axios stark genutzt wird und der Einsatz meist automatisiert erfolgt, wurden die manipulierten Versionen in der kurzen Zeit bis zu ihrer Entfernung schätzungsweise von rund 3 Prozent der Axios-Nutzerbasis heruntergeladen. Ziel war ein Remote-Access-Trojaner, der letztlich über CI/CD ausgeliefert wurde.
Im Februar/März 2026 kompromittierte zudem die Gruppe TeamPCP den Schwachstellen-Scanner Trivy von Aqua, BerriAIs LiteLLM sowie Checkmarx/kics – jeweils, um in die CI/CD weit verbreiteter Werkzeuge einzudringen. Am 31. März erklärte Mercor, eines von „Tausenden von Unternehmen, die von einem Lieferketten-Angriff im Zusammenhang mit LiteLLM betroffen sind". Anfang April verlor die Europäische Kommission 300 GB Daten an Angreifer, die einen im Trivy-Angriff kompromittierten API-Schlüssel nutzten.
Scanner versagen aus zwei Gründen, wie der Beitrag erläutert. Erstens muss bösartige Absicht nicht bösartig aussehen – etwa ein Datenversand an GitHub, das nicht als gefährliches Ziel gilt, weil viele npm-Pakete von dort stammen. Zweitens bleiben unbekannte Zero-Day-Schwachstellen schlicht unentdeckt. Letzteres dürfte sich durch leistungsfähige KI-Frontier-Modelle verschärfen, die zahlreiche einschleusbare Schwachstellen aufdecken und Angreifern helfen können, unauffällige Exploits zu erzeugen.
„Wenn wir nicht wissen, dass es eine Schwachstelle gibt, lassen wir das Paket einfach hinein", sagt David Pulaski, Mitgründer von InvisiRisk. Er vergleicht den Scanner mit einem Türsteher, der jemanden einlässt, weil die Einladung gut aussieht – während der Eingelassene drinnen ein Geheimnis an einen falschen Ort sendet.
InvisiRisks Lösung ist keine weitere Prüfung des Inhalts, sondern eine Firewall für den CI/CD-Prozess, die jedes einzelne Paket beim Eintritt in den Build inspiziert. Anders als gehärtete Runner, die nur DNS sehen, führt die BAF eine Deep-Packet-Inspection durch. „Wenn man Schmuck stiehlt und ihn direkt zurück zu GitHub bringt, sagt der Runner: Klar, nimm ihn mit", so Pulaski. Die Firewall hingegen erkennt, was gestohlen wird und wohin es geht. Sie muss eine Schwachstelle nicht kennen, um sie zu erkennen – sie meldet jede Aktivität, die nicht exakt dem Erwarteten entspricht.
Die BAF setzt Richtlinien während des Builds durch, statt nur Inhalt oder fertigen Build zu scannen. Die Richtlinien lassen sich per Assistent definieren oder über die Nutzung der Firewall hinweg entwickeln; eine eigene KI erläutert, warum sie eine Aktion für riskant hält und welches Risiko daraus entstehen kann.
Als Nebeneffekt verbessert der Ansatz laut Pulaski die Qualität von Software-Stücklisten (SBOMs), die für erfolgreiche Softwareverkäufe vorgeschrieben sind und durch Bidens Executive Order 14028 für alle an die US-Bundesregierung verkaufte Software formalisiert wurden. Statt Listen und Manifeste auszuwerten, beobachte man die Software direkt beim Bau und kenne Herkunft und Abhängigkeiten jeder Komponente. Daraus erstelle das Werkzeug TruSBOM eine vollständige und korrekte SBOM.