Flashpoint zufolge waren im vergangenen Jahr mehr als 11,1 Millionen Geräte mit Infostealern infiziert. Das habe ein Angebot von über 3,3 Milliarden gestohlenen Zugangsdaten, Sitzungscookies, Cloud-Token und weiteren Identitätsdaten geschaffen, die auf illegalen Märkten zirkulieren. Mehr als 30 verschiedene Infostealer-Familien würden aktiv in Untergrundforen und Marktplätzen angeboten. Als besonders verbreitet nennt Flashpoint für 2025 Lumma, Acreed, Rhadamanthys, Vidar und StealC. Zu den am stärksten betroffenen Ländern zählten Indien, Brasilien, Indonesien, Vietnam, die Philippinen und die USA.

Group-IB beschreibt mit SilabRAT einen als Malware-as-a-Service angebotenen Remote-Access-Trojaner, der seit September 2025 unter dem Namen des Akteurs „o1oo1“ für 5.000 US-Dollar pro Monat in Darknet-Foren beworben werde. Nach Angaben des Unternehmens liegt der Schwerpunkt auf finanziell motiviertem Diebstahl von Zugangsdaten. Die Malware werde über ClickFix-Kampagnen mit Hijack Loader ausgeliefert, nutze Hidden Virtual Network Computing für Fernsteuerung, kann Browser-Profile klonen und Wallet-Adressen sowie weitere Krypto-Artefakte erkennen.

Besonders brisant ist laut SafeDep der kurzzeitige Leak von Miasma auf GitHub. Der Code sei über kompromittierte Entwicklerkonten veröffentlicht worden. SafeDep stuft Miasma nicht bloß als Supply-Chain-Wurm ein, sondern als vollständiges Angriffstoolkit gegen öffentliche Paketquellen wie PyPI, npm und RubyGems, gegen JFrog Artifactory, GitHub-Repositories und GitHub Actions sowie für Konfigurationsvergiftung von KI-Codierwerkzeugen und seitliche Bewegungen per SSH. Als Variante des Wurms Shai-Hulud habe sich die Kampagne inzwischen zu einer Python-Version namens Hades weiterentwickelt. Stand vergangener Woche waren laut SafeDep 304 Komponenten betroffen.

Auch klassische Software-Lieferketten bleiben im Fokus. Iru analysierte den plattformübergreifenden RAT SStar Agent, der über das manipulierte npm-Paket „tw-style-utils“ verteilt werde. Als Köder diene ein angebliches Web3-Bewerbungsprojekt auf GitHub. Die Windows-Version enthält laut Iru unter anderem Tastatur-Hooks, Zwischenablage-Überwachung und Fernsteuerung, während die macOS-Variante stark auf Aufklärung und Exfiltration ausgerichtet sei. Überschneidungen deuten auf bereits bekannte Social-Engineering-Angriffe nordkoreanischer Gruppen hin.

Varonis zeigt unterdessen, dass auch KI-Agenten selbst zum Einfallstor werden können. In vier Phishing-Simulationen gegen den OpenClaw-E-Mail-Agenten Pinchy habe das System nicht nur Angriffe übersehen, sondern in einem Fall auch AWS-IAM-Schlüssel, Datenbank-Passwörter und SSH-Zugangsdaten an ein externes Gmail-Konto weitergeleitet. Varonis grenzt dieses „Agent-Phishing“ von indirekter Prompt-Injection ab: Die Manipulation erfolge nicht über eingebettete Instruktionen in Daten, sondern über scheinbar legitime Nachrichten in normalen Kommunikationskanälen.

Bei konkreten Schwachstellen nennt das Bulletin zwei Fälle. InfoGuard Labs beschreibt mit Ghost-Sender eine Technik, mit der sich in bestimmten Microsoft-Exchange-Konfigurationen E-Mails fälschen lassen, als stammten sie von beliebigen internen oder externen Absendern. Voraussetzung sei die Kombination aus Exchange Online oder lokalem Exchange im Hybridbetrieb mit einem externen MX-Eintrag. Marcus Hutchins wiederum veröffentlichte Details und einen Proof of Concept zu ComoDoS, einer Integer-Underflow-Schwachstelle in Comodo Internet Securitys Firewall-Treiber Inspect.sys (CVE-2026-49494, CVSS 7,5). Der Fehler könne per einzelnes TCP/IP-Paket einen Systemabsturz auslösen und sei zum Zeitpunkt der Veröffentlichung noch ungepatcht.

Microsoft meldete außerdem ein Problem in der Claude Code GitHub Action: Wenn KI-Agenten nicht vertrauenswürdige GitHub-Inhalte verarbeiteten, konnten CI/CD-Geheimnisse offengelegt werden. Laut Microsoft war das Werkzeug „Read“ nicht dem gleichen Sandbox-Modell unterworfen wie andere Ausführungspfade und konnte auf „/proc/self/environ“ zugreifen, um unter anderem den ANTHROPIC_API_KEY auszulesen. Nach verantwortungsvoller Meldung vom 29. April 2026 wurde der Fehler am 5. Mai mit Claude Code Version 2.1.128 behoben. Die Korrektur blockiert den Zugriff auf mehrere Dateien unter „/proc/“ grundsätzlich.