Der Puls von Cloud & Cyber – Ausgabe 3: Wetten auf KI, Phishing-Kriege und ein Wurm in der npm-Lieferkette

1) SoftBank verkauft seinen gesamten Nvidia-Anteil: Rotation innerhalb des KI-Handels oder frühes Zeichen einer Blase?

SoftBank hat alle 32,1 Millionen Nvidia-Aktien, die es hielt, verkauft und damit im Oktober etwa 5,8 Milliarden US-Dollar eingenommen. In seinem jüngsten konsolidierten Finanzbericht bestätigt das Unternehmen den Ausstieg und stellt ihn als Finanzierung für eine umfassende KI-Strategie dar, die auf massiven Folgeinvestitionen in OpenAI (bis zu 40 Milliarden US-Dollar zugesagt) und dem vorgeschlagenen 500-Milliarden-Dollar-„Stargate"-Rechenzentrum-Projekt in den USA basiert.

Die Märkte interpretieren es anders. Nvidia fiel bei der Nachricht um mehr als 2%, und Kommentatoren fragten sofort, ob einer der lautesten KI-Bullen leise den Höhepunkt ausruft. Jüngste Warnungen großer Banken und prominenter Leerverkäufer vor überhitzten KI-Aktien verstärkten die Stimmung eines möglichen KI-Blasen-„Phasenwechsels".

Warum es wichtig ist, wenn Sie KI-Infrastruktur aufbauen oder kaufen:

• Capex-Peitschenhieb kommt. Wenn einer der größten KI-Investoren von GPU-Aktien zu privaten KI-Wetten und physischer Infrastruktur rotiert, signalisiert dies, wie schnell sich „wo das Geld sitzt" ändern kann. Mehrjährige Cloud- und GPU-Verpflichtungen sollten sowohl gegen KI-Winter- als auch KI-Manie-Szenarien getestet werden.
• Anbieterkonzentration ist immer noch das größte Risiko. Nvidias Dominanz plus Hyperscaler-Konzentration bedeutet, dass die Portfolio-Bewegung eines einzelnen Unternehmens sich auf GPU-Preise, Verfügbarkeit und Zeitpläne auswirken kann. Teams sollten aktiv Multi-Vendor-Beschleuniger modellieren, nicht nur „Nvidia überall".
• Rechenzentrum-Zeitpläne werden KI-Produkt-Roadmaps prägen. Wenn Projekte wie Stargate wirklich Realität werden, verlagert sich der Engpass von „wir können nicht genug GPUs bekommen" zu Strom, Kühlung und behördlichen Genehmigungen. Das ist ein anderes Risikoprofil, als die meisten KI-Roadmaps heute annehmen.

Maßnahmen, die Sie in diesem Quartal in Betracht ziehen sollten

• Für Finanz- und Produktverantwortliche: Simulieren Sie 2–3 Abwärtsszenarien, in denen KI-Infrastrukturkosten steigen oder Kapazitäten rationiert werden, und entscheiden Sie, welche Funktionen oder Märkte Sie zuerst kürzen würden.
• Für Cloud-Architekten: Starten Sie einen GPU-Diversifizierungsplan (Cloud + On-Premise + alternative Anbieter), damit die Bewegungen eines einzelnen Anbieters Ihre Roadmap nicht blockieren können.

2) DanaBot ist zurück: Ein Banking-Trojaner, der eine globale Abschaltung überlebt hat

Die DanaBot-Malware – ein langjähriger Banking-Trojaner, der zum Info-Stealer wurde – ist mit einer neuen Version 669 wieder aufgetaucht, etwa sechs Monate nachdem die Strafverfolgungsbehörden mit der Operation Endgame im Mai ihre Infrastruktur gestört hatten.

Forscher von Zscaler ThreatLabz und anderen berichten:

• Eine wiederaufgebaute C2-Infrastruktur, die sich auf Tor (.onion)-Domains und „Backconnect"-Knoten für Fernzugriff stützt.
• Fortgesetzter Fokus auf Credential-Diebstahl und Krypto-Wallets, plus Loader-Funktionalität, um zusätzliche Payloads einzubringen (einschließlich Ransomware in einigen Ketten).
• Vertrauter Erstzugang: bösartige E-Mail-Anhänge, SEO-vergiftete Downloads und Malvertising.

Operation Endgame war eine der größten Botnet-Abschaltungen bis heute, die mehrere Malware-Familien traf und Infrastruktur beschlagnahmte – aber sie legte nicht jedem Betreiber Handschellen an. DanaBots schnelle Rückkehr ist der Beweis dafür, dass Störung ohne Verhaftungen oft „Pause" bedeutet, nicht „Spiel vorbei".

Warum es für Windows-Flotten und Finanz-Workflows wichtig ist

• MaaS stirbt nie wirklich. DanaBot hat als Malware-as-a-Service operiert, was bedeutet, dass mehrere Crews es mieten können. Ein „Return-of-Service"-Moment wie dieser kann Ihr Bedrohungsmodell leise ändern, selbst wenn Sie vorher nicht direkt getroffen wurden.
• Endpoint- und E-Mail-Kontrollen müssen aufeinander abgestimmt sein. Wenn Ihre E-Mail-Abwehr stark ist, aber Endpoint-Richtlinien beliebiges PowerShell erlauben, oder umgekehrt, verlassen Sie sich auf Glück. DanaBot erinnert uns daran, dass diese Kampagnen mehrere Schwachstellen verketten.
• Krypto- und Finanzteams sind hochwertige Ziele. Jede Organisation mit Händlern, Treasury oder Krypto-Operationen sollte dies als weiteren Grund behandeln, Workstations mit Finanzzugang zu härten.

Konkrete Maßnahmen

• Importieren und erzwingen Sie IOCs aus Zscaler und anderen DanaBot-Berichten in Ihre Endpoint-, DNS- und E-Mail-Gateways.
• Führen Sie eine Windows-Härtungs-Baseline (PowerShell, Makros, LOLBins, lokale Admin-Rechte) auf Maschinen mit Zugang zu Banking-Portalen oder Wallets erneut durch.
• Stellen Sie sicher, dass Application-Allowlisting oder starke EDR speziell auf Finanz-Endpoints vorhanden ist – diese sind oft Ausnahmen in ansonsten gut gesicherten Flotten.

3) Google verklagt „Lighthouse"-Phishing-as-a-Service-Betreiber: Recht trifft auf PhaaS

Google hat vor einem US-Bundesgericht (Southern District of New York) Klage gegen 25 ungenannte Angeklagte hinter „Lighthouse" eingereicht, einer groß angelegten Text-Phishing-Operation („Smishing").

Laut Googles Klage und öffentlichen Erklärungen:

• Lighthouse bot Phishing-as-a-Service-Kits an, die Google, den US-Postdienst, Mautsysteme wie E-ZPass und andere imitierten.
• Die Gruppe soll angeblich fast 200.000 gefälschte Websites in nur 20 Tagen erstellt haben und über 1 Million potenzielle Opfer in mehr als 120 Ländern angelockt haben.
• Der Operation wird vorgeworfen, persönliche und finanzielle Daten in Milliardenhöhe gestohlen zu haben, wobei Google Schätzungen von über 1 Milliarde US-Dollar an Verlusten anführt.
• Google klagt unter Lanham Act, RICO und CFAA-Ansprüchen und fordert Schadensersatz sowie Gerichtsbeschlüsse zur Demontage von Domains, Infrastruktur und Zahlungsströmen, die mit der Operation verbunden sind.

Google kombinierte die Klage mit einem politischen Vorstoß – öffentliche Unterstützung für US-Gesetze, die darauf abzielen, Maßnahmen gegen solche Betrügereien zu verschärfen und Plattformen zu helfen, schneller zu handeln, wenn sie kriminelle Infrastruktur abreißen.

Warum es für Unternehmen und SaaS-Plattformen wichtig ist

• PhaaS ist die neue Normalität. Lighthouse industrialisiert Phishing auf die gleiche Weise, wie Cloud-Plattformen DevOps industrialisiert haben: Kits, Dashboards, Automatisierung und „Support". Ihre Benutzer stehen nicht einzelnen Betrügern gegenüber – sie stehen strukturierten Produkten gegenüber.
• Markenmissbrauchsrisiko steigt. Wenn Sie eine bekannte SaaS- oder Verbrauchermarke betreiben, sind Sie nicht nur ein Ziel; Ihre Logos und E-Mails sind Rohmaterial für PhaaS-Vorlagen.
• Rechtlich + technisch ist das neue Playbook. Große Plattformen kombinieren zunehmend Zivilklagen, strafrechtliche Überweisungen und technische Abschaltungen. Erwarten Sie schnellere, koordiniertere Durchgriffe – und bauen Sie Ihre Reaktions-Playbooks so auf, dass sie in dieses Ökosystem eingebunden werden können.

Was Führungskräfte tun können

• Wenn Sie eine verbraucherorientierte Marke haben, bauen Sie einen „Markenmissbrauchs"-Prozess auf: wie Sie gefälschte Domains erkennen, Abschaltungen einreichen und Benutzer benachrichtigen.
• Implementieren Sie FIDO2/WebAuthn wo immer möglich, damit Credential-Diebstahl allein nicht gleich Kontoübernahme bedeutet.
• Fügen Sie PhaaS-ähnliche Szenarien in Ihr Sicherheitsbewusstseins-Training ein, einschließlich SMS-Phishing und QR-Code-Phishing, nicht nur klassische E-Mail.

4) Payroll Pirates & gefälschte Suchanzeigen: Wenn „gesponsert" „gestohlener Gehaltsscheck" bedeutet

Eine langjährige Kampagne namens „Payroll Pirates" missbraucht Google- und Bing-Anzeigen, um HR- und Gehaltsabrechnungsportale zu fälschen und dann Anmeldedaten und Multi-Faktor-Codes in großem Umfang zu stehlen.

Von Check Point, Microsoft und anderen Forschern:

• Angreifer schalten gesponserte Suchanzeigen, die Portale für Gehaltsabrechnung, HR, Kreditgenossenschaften und Handelsplattformen imitieren. Benutzer, die suchen, anstatt Lesezeichen zu verwenden, sehen zuerst die gefälschte Website.
• Die Kampagne hat über 200 Plattformen ins Visier genommen und schätzungsweise etwa eine halbe Million Benutzer im Laufe der Zeit angelockt.
• Jüngste Microsoft-Berichte zeigen einen verwandten „Payroll Pirate"-Akteur (Storm-2657), der Universitätskonten kompromittiert, um Gehaltszahlungen auf von Angreifern kontrollierte Bankkonten umzuleiten.
• Die Infrastruktur verwendet „White-Page"-Weiterleitungen, Domains, die an Orten wie Kasachstan und Vietnam gehostet werden, Cloaking und Telegram-Bots, um MFA-Codes in Echtzeit zu erfassen.

Warum es für jede Organisation wichtig ist, die Menschen online bezahlt

• Suchanzeigen sind jetzt eine primäre Angriffsfläche. Selbst technisch versierte Benutzer klicken oft auf das oberste Ergebnis und gehen davon aus, dass die Anzeigenprüfung sie schützt. Diese Annahme ist nicht mehr sicher.
• Gehaltsabrechnung, Sozialleistungen und HR-SaaS sind hochwertige Kronjuwelen. Ein kompromittiertes Workday- oder ähnliches Konto kann Gehaltsschecks stillschweigend umleiten, Bankdaten ändern oder sensible HR-Daten offenlegen.
• Vertrauensgrenzen verschwimmen. Benutzer mischen Browser-Adressleisten, Lesezeichen, Passwort-Manager und Suchgewohnheiten. Angreifer nutzen die Lücken aus.

Praktische Maßnahmen

• Sagen Sie den Leuten, sie sollen Gehaltsabrechnungs- und HR-Portale als Lesezeichen speichern und sie niemals über die Suche erreichen – ja, explizit, im Onboarding und Sicherheitstraining.
• Arbeiten Sie mit Finanzen/HR zusammen, um Out-of-Band-Verifizierung für Bankkonto-Änderungen zu implementieren (z. B. eine Bestätigung über einen zweiten Kanal).
• Auf der technischen Seite implementieren Sie Browser-URL-Schutz: Warnen Sie, wenn Domains Lookalikes Ihrer echten Portale sind, und verwenden Sie SSO mit starker phishing-resistenter MFA (z. B. Sicherheitsschlüssel), wo möglich, um Credential-Replay weniger nützlich zu machen.
• Wenn Sie eine öffentliche Marke betreiben, die für Payroll Pirates attraktiv ist, überwachen Sie bösartige Anzeigen und Phishing-Domains mithilfe von Threat-Intel-Feeds oder einem Drittanbieter-Markenschutzdienst.

5) npm unter Druck: Zehntausende gefälschte Pakete und ein TEA-Farming-Wurm

Das npm-Register wird von einer groß angelegten Spam- und „wurmartigen" Kampagne getroffen, die seit Anfang 2024 Zehntausende gefälschte Pakete veröffentlicht hat – viele davon nach indonesischen Lebensmitteln benannt.

Wichtige Punkte von The Hacker News, AWS und Endor Labs:

• Frühe Wellen wurden von Endor Labs entdeckt, die eine Kampagne analysierten, die sie den „Indonesian Foods"-Wurm nennen, verbunden mit TEA-Token-Farming.
• Amazon Inspector meldet jetzt über 150.000 Pakete, die mit einer koordinierten TEA.xyz-Token-Farming-Kampagne verbunden sind, und nennt es einen der größten Paket-Flooding-Vorfälle in der Open-Source-Geschichte.
• Viele Pakete sind nicht offen bösartig, aber einige enthalten Skripte, die automatisch mehr Pakete generieren und veröffentlichen, wodurch eine sich selbst replizierende Spam-Schleife entsteht, die Download-Zahlen und TEA-Belohnungen aufbläht.
• Der Nettoeffekt ist ein npm-Ökosystem, das mit Müll verschmutzt ist, was es schwieriger macht, legitime Bibliotheken zu entdecken und es einfacher macht, dass wirklich bösartige Pakete im Rauschen versteckt werden.

Warum es für Engineering und Supply-Chain-Sicherheit wichtig ist

• „Harmloser" Spam schadet Ihnen trotzdem. Selbst wenn ein Paket keine Daten stiehlt, kann es unnötige Abhängigkeiten, längere Installationszeiten und Verwirrung bei der Abhängigkeitsauflösung einführen – besonders wenn Namen ähnlich wie echte Projekte aussehen.
• Wirtschaftliche Anreize prägen jetzt Ihren Abhängigkeitsbaum. Diese Kampagne geht nicht um Ihre App; es geht darum, eine Token-Ökonomie zu manipulieren. Das bedeutet, dass Angriffe viel schneller skalieren können als traditionelle gezielte Malware.
• Dies sitzt auf traditionelleren npm-Kompromissen. Während diese Kampagne hauptsächlich spammy ist, haben wir bereits 2025 Supply-Chain-Angriffe gesehen, die weit verbreitete Pakete mit Hintertüren versehen haben, um Anmeldedaten und Krypto zu stehlen.

Was zu tun ist, wenn Sie JavaScript ausliefern

Wechseln Sie von „npm install nach Gefühl" zu richtliniengesteuertem Abhängigkeitsmanagement:

• Fixieren Sie Versionen und verwenden Sie Lockfiles, die in die Quelle eingecheckt sind.
• Fordern Sie eine Mindest-Reife-Schwelle (Sterne, Mitwirkende, Alter) für neue Pakete, bevor Sie sie in Produktionssysteme zulassen.
• Implementieren Sie ein Software Composition Analysis (SCA)- oder Supply-Chain-Tool, das bösartige Paket-Feeds (AWS Inspector, OpenSSF/OSV, Vendor Intel) aufnimmt und riskante Abhängigkeiten kennzeichnet.
• Behandeln Sie Build-Pipelines als hochwertige Assets: Isolieren Sie sie, verwenden Sie das Prinzip der geringsten Privilegien und fügen Sie Integritätskontrollen hinzu (Sigstore, Prüfsummen, reproduzierbare Builds), damit eine einzelne bösartige Abhängigkeit Produktionsartefakte nicht stillschweigend ändern kann.

Redaktionelles Fazit

• KI-Kapital rotiert, zieht sich nicht zurück. SoftBanks Ausstieg aus Nvidia, um auf OpenAI und Rechenzentrum-Megaprojekte zu verdoppeln, ist eine Erinnerung daran, dass sich die KI-Geschichte von Chips zu vollständigen Stacks verschiebt – von GPUs zu Strom, Immobilien und Regulierung.
• Abschaltungen sind eine Geschwindigkeitsschwelle, keine Ziellinie. DanaBots Rückkehr sechs Monate nach Operation Endgame zeigt, dass MaaS-Crews ohne Verhaftungen oder anhaltenden Druck wieder aufbauen können – und Ihre Kontrollen müssen das annehmen.
• Cyberkriminalität ist jetzt ein Dienstleistungsgeschäft. Lighthouse, Payroll Pirates und sogar TEA-Farming-npm-Spam monetarisieren alle in großem Umfang und verwandeln Phishing und Paket-Rauschen in wiederholbare Produkte. Die Aufgabe für Verteidiger besteht darin, ihr Geschäftsmodell zu brechen, nicht nur einzelne IOCs zu blockieren.
• Anzeigen, SMS und Dev-Tooling sind Front-Line-Angriffsflächen. Wenn Ihr Bedrohungsmodell sich immer noch nur auf klassisches E-Mail-Phishing und Perimeter-Firewalls konzentriert, verpassen Sie, wo moderne Angreifer tatsächlich leben.

Wenn Sie diese Woche nur drei Dinge tun:

1. Für Führungskräfte: Testen Sie Ihre KI-Infrastruktur- und GPU-Abhängigkeitsannahmen gegen einen kühleren Markt oder verzögerte Kapazität.
2. Für Sicherheit: Aktualisieren Sie Erkennungen für DanaBot, Lighthouse-ähnliche PhaaS und Payroll Pirates, mit besonderer Aufmerksamkeit auf SMS, Anzeigen und HR-/Gehaltsabrechnungsportale.
3. Für Engineering: Verschärfen Sie die npm-Hygiene – Lockfiles, SCA und stärkere Kontrollen bei der Einführung neuer Pakete in Produktions-Builds.

Primärquellen