Reduziert man den Vorfall auf seinen Kern, bleibt ein Muster: Ein vertrauenswürdiges, vom Browser ausgeliefertes Element wurde unbemerkt verändert, um sensible Nutzerdaten abzufangen, bevor die legitime Anwendung sie verarbeiten konnte. Für Server-Logs, Firewalls, Web Application Firewalls und EDR-Systeme blieb das unsichtbar – nicht wegen Fehlkonfiguration, sondern weil diese Kontrollen nie dafür gebaut wurden, das Geschehen innerhalb einer Browser-Sitzung zu beobachten.

Das Prinzip lässt sich übertragen: Statt Seed-Phrasen Zahlungskartendaten, statt der Chrome-Erweiterung ein Marketing-Pixel, ein Support-Widget oder ein A/B-Test-Framework. Eine typische Checkout-Seite im E-Commerce lädt laut dem Bericht 40 bis 60 Drittanbieter-Skripte, jedes davon eine vertrauenswürdige Verbindung – und damit ein potenzielles Einfallstor.

Neu an dieser Entwicklung ist vor allem die Ökonomie. Große Sprachmodelle erzeugen in Minuten Tausende überzeugender Domain-Varianten. Homograph-Angriffe mischen lateinische, kyrillische und griechische Zeichen zu Domains, die in der Adresszeile optisch identisch wirken und der Erkennung über String-Distanzen entgehen. Domainregistrierung, SSL-Ausstellung und Kampagnenstart dauern inzwischen weniger als zehn Minuten. Nach Daten von Sonatype stieg das Hochladen schädlicher Pakete in Open-Source-Repositories im Jahresvergleich um 156 Prozent – manuelle Prüfung ist dadurch strukturell unmöglich geworden.

Der Bericht nennt weitere Fälle: Eine Phishing-Mail an einen einzelnen Paket-Maintainer verschaffte Angreifern Zugriff auf 18 vertrauenswürdige JavaScript-Bibliotheken, darunter chalk und debug mit zusammen über zwei Milliarden wöchentlichen Downloads. Binnen 16 Minuten war Schadcode in alle eingeschleust, der Browser-Schnittstellen kaperte. Schnelles Eingreifen begrenzte den direkten Schaden auf rund 500 Dollar – entscheidend war nicht das Zeitfenster, sondern die Reichweite. In einem weiteren Fall kaperten Angreifer über Phishing ein Konto mit Veröffentlichungsrechten für die Bibliothek @solana/web3.js und brachten manipulierte Versionen in Umlauf, die private Schlüssel mitten in Transaktionen abfingen. Jede Anwendung, die innerhalb des fünfstündigen Fensters automatisch aktualisierte, lieferte die Hintertür direkt an ihre Nutzer aus; knapp 200.000 Dollar wurden abgezogen.

Klassisches Social Engineering brauchte einen Menschen im Ablauf – jemanden, der eine URL vertippt, einen Link anklickt, einen Absender für vertrauenswürdig hält. Diese Angriffe überspringen den Schritt: Vertrauen wird nicht mehr erzeugt, sondern geerbt. Die Build-Pipeline vertraut npm, der Anbieter seinem CDN, der Browser dem Anbieter. Der Angreifer muss niemanden täuschen, sondern sich nur irgendwo in eine bereits gewährte Vertrauenskette einklinken.

Als häufigste Verteidigung wird die Content Security Policy (CSP) genannt. Doch CSP ist eine Gästeliste, kein Verhaltensmonitor: Ein erlaubtes Skript, das Zahlungsfelder ausliest und die Daten abfließen lässt, bleibt zulässig, weil die Herkunft als vertrauenswürdig gilt. CSP regelt die Verbindung, nicht die Ausführung.

Schädliches Verhalten ist 2026 laut dem Bericht bewusst auf die Laufzeit verlagert. Die Pakete von Shai-Hulud blieben während automatischer Scans inaktiv und wurden erst unter bestimmten Laufzeitbedingungen aktiv; statische Analyse erfasst dynamisch nachgeladene Payloads nicht. IBMs „Cost of a Data Breach Report 2025" beziffert die durchschnittliche Zeit bis zur Entdeckung eines Einbruchs auf 241 Tage – bei Angriffen, die unbemerkt im Browser-Speicher ablaufen, kann dieses Fenster noch deutlich länger sein.

Erkennung erfordert daher, zu beobachten, was Skripte nach ihrer Ausführung tatsächlich tun: mit welchen Domains sie kommunizieren, welche Seitenelemente sie ansprechen und wie ihr Verhalten von etablierten Normalwerten abweicht. Diese Laufzeit-Verhaltensüberwachung fehlt in den meisten Sicherheits-Stacks. Reflectiz, das den Beitrag veröffentlicht hat, setzt dabei auf eine Deobfuskation zur Laufzeit, die ein Skript in einer instrumentierten Umgebung ausführt und sein tatsächliches Verhalten nachverfolgt, statt den Quellcode zu lesen.