Das Angriffsszenario ist beängstigend in seiner Eleganz: Ein selbstreproduzierendes npm-Worm namens Shai-Hulud sammelte monatelang Developer-Credentials – GitHub-Token, npm-Publishing-Keys und Chrome Web Store API-Zugangsschlüssel. Mit diesen gestohlenen Authentifizierungsmitteln infiltrierten Angreifer eine manipulierte Version der Trust Wallet Extension über offizielle Kanäle. Chromes Verifizierung passierte die trojanisierte Extension. Die Malware führte ihre Operationen vollständig im Browser aus, zeichnete Seed Phrases auf und übertrug sie an eine Domain, die legitime Trust Wallet-Analytics vortäuschte. Innerhalb von 48 Stunden waren 2.500 Wallets geleert.
Die technische Perfidie liegt in der Verlagerung der Angriffsebene: Nicht der Server wurde kompromittiert, sondern der Browser selbst – dort, wo klassische Sicherheitstools blind sind. Ein typischer E-Commerce-Checkout lädt 40 bis 60 Drittanbieter-Scripts. Jedes ist eine vertrauenswürdige Verbindung. Jedes könnte zum Einfallstor werden.
Was diese neue Phase unterscheidet, ist nicht nur die Raffinesse, sondern die Ökonomie des Angriffs. Large Language Models generieren in Minutenschnelle Tausende überzeugender Domain-Varianten. Homograph-Angriffe kombinieren lateinische, kyrillische und griechische Zeichen zu Domains, die in der Browser-Adressleiste identisch aussehen, aber String-Distance-Detection umgehen. Domain-Registrierung, SSL-Zertifikat und vollständige Campaign-Bereitstellung dauern unter zehn Minuten. Sonatypes Daten zeigen: Malicious Package Uploads in Open-Source-Repositorys sprangen um 156 Prozent Jahr-über-Jahr – Volumen allein macht manuelle Überprüfung strukturell unmöglich.
Die Attacken folgen einer Kette der Vernachlässigung: Content Security Policy (CSP) ist eine Gästeliste, kein Verhaltensmonitor. Ein whitelistiertes Script, das Zahlungsformular-Daten ausliest und exfiltriert, bleibt vollständig erlaubt, weil die Origin vertrauenswürdig ist. CSP überwacht die Verbindung, nicht die Ausführung.
Statische Analyse versagt gegen laufzeit-aktivierte Payloads. Shai-Hulud-Pakete blieben während automatischer Scans inaktiv, aktivierten sich erst unter spezifischen Bedingungen. IBM’s Cost of a Data Breach Report von 2025 zeigt: Durchschnittlich dauert es 241 Tage, einen Breach zu entdecken. Bei Browser-basierten Supply-Chain-Angriffen kann dieses Fenster erheblich länger sein.
Die Lösung erfordert Runtime Behavioral Monitoring – das Beobachten, was Scripts nach ihrer Ausführung tatsächlich tun: Welche Domains sie kontaktieren, auf welche Seitenelemente sie zugreifen, wie ihre Verhalten von etablierten Baselines abweicht. Das ist die fehlende Schicht in den meisten Enterprise-Security-Stacks. KI-gestützte Deobfuskation kann Verhaltensabweichungen auch bei verschleiertem Code aufdecken. Für deutsche Unternehmen bedeutet das: Nicht nur Domains überwachen, sondern deren Laufzeit-Verhalten analysieren. Priorität sollten Zahlungs- und Authentifizierungs-Seiten haben – dort, wo der Schaden am größten ist.