Größte Cybersicherheitsvorfälle März 2026: iOS-Exploits und Supply-Chain-Hacks
Im März 2026 landeten zwei mächtige iOS-Exploit-Kits im Darknet: Coruna und DarkSword. Coruna, entwickelt von L3Harris für US-Regierungsaufträge, verknüpft 5 Exploits über 23 Schwachstellen und zielt auf iOS-Versionen von 13 bis 17.2.1 ab. Das Kit übernimmt Komponenten aus der „Triangulation-Operation“ und teilt denselben Rahmen sowie Kernel-Exploit-Code. Laut Kaspersky Lab handelt es sich um eine aufgerüstete Triangulation-Kette mit vier völlig neuen Exploits.
Coruna wanderte von einem Five-Eyes-Regierungsprojekt über APT-Gruppen zu chinesischen Cyberkriminellen. Insider von L3Harris bestätigten anonym seine Echtheit: Coruna war ein interner Codename für die Komponente. Der Leak ging auf einen Top-Manager, Peter Williams, zurück, der die Exploits verkaufte.
DarkSword greift iOS 18.4–18.7 mit einer Kette aus sechs Schwachstellen an, darunter drei Zero-Days. Es extrahiert blitzschnell Daten und löscht seine Spuren. Beide Kits zeigen einen reifenden Markt: Regierungsanbieter → Graumarkt-Händler → APTs → Straßenkriminalität.
Supply-Chain-Kompromittierungen: Bibliotheken und Quellcode-Leaks
Die beliebte Axios-Bibliothek auf npm (Versionen 1.14.1 und 0.30.4) wurde am 31. März kompromittiert. Angreifer übernahmen ein Maintainer-Konto durch einen ClickFix-Angriff in Microsoft Teams und injizierten einen Remote-Access-Trojaner (RAT) für macOS, Windows und Linux. Die bösartige Veröffentlichung umging GitHub-Actions-CI/CD-Prüfungen. Der Malware wurde innerhalb von Stunden entfernt, doch Infektionen verbreiteten sich sofort. Mit 100 Millionen wöchentlichen Downloads ist das Risiko enorm.
Anthropics Claude Code leakte über eine Sourcemap in einem npm-Paket: 500.000 Zeilen TypeScript. Der Code enthüllt fortschrittliche Features wie selbstheilenden Speicher zur Umgehung von Kontextfenster-Limits, Hintergrund-Agenten und Tarnung von KI in Open-Source-Commits. Gefälschte GitHub-Forks tauchten auf, verseucht mit Vidar- und GhostSocks-Malware als angeblich freigeschaltete Versionen – bis zu 793 Forks.
Cisco verlor Quellcode aus ~300 Repositories nach einem Trivy-Kompromiss. Der Schwachstellen-Scanner-Breach ermöglichte Zugriff auf CI/CD-Credentials, AWS-Accounts und Entwickler-Maschinen. Betroffen waren unveröffentlichte Produkte, KI-Projekte und Kunden-Repos von Banken und Behörden.
- Ausmaß der Auswirkungen:
1. Axios: Sofortige Infektionen durch immense Popularität.
2. Claude Code: Konkurrenz zerlegt den Code, Malware lauert in Forks.
3. Cisco: KI-Code und Kundendaten offengelegt.
4. Trivy: Systemisches Risiko für Software-Supply-Chains.
Prominente Datenpaniken und Regulierungsverschiebungen
Die E-Mail des FBI-Direktors Kasha Patel wurde vom iranischen Gruppe Handala gehackt – über ein altes Gmail-Konto ohne 2FA und mit wiederverwendeten Passwörtern. Der Dump enthält Korrespondenz und Fotos aus der Zeit vor seiner Ernennung. Die USA setzten 10 Millionen Dollar Kopfgeld auf die Hacker aus.
Braziliens neues Altersverifizierungsgesetz zwingt Plattformen und Betriebssysteme zu Prüfungen. Linux-Distributionen wie ArchLinux32 und MidnightBSD blocken brasilianische IPs oder verbieten es in Lizenzen. GrapheneOS lehnte Datensammlung strikt ab. Das Gesetz fordert APIs zur Weitergabe von Altersdaten an App-Stores – ein massiver Datenschutz-Alarm.
Die USA verboten Importe ausländischer Router aus Sicherheitsgründen und legten Versandbeschränkungen für Anbieter auf.
Wichtigste Erkenntnisse
- Coruna- und DarkSword-Leaks zeigen, wie Regierungs-Exploits ins Darknet sickern: Von APTs zur Massenkriminalität.
- Axios- und Trivy-Kompromisse beleuchten Schwächen bei npm und CI/CD – gestohlene Tokens und ClickFix-Angriffe als Top-Einstiegspunkte.
- Quellcode-Leaks (Claude Code, Cisco) beschleunigen Reverse-Engineering und Malware in Repos.
- Regulierungen (Brasilien, USA) verändern OS-Entwicklung und Hardware-Supply-Chains.
- Angriffe auf große Ziele (FBI) nutzen Basics wie fehlende 2FA.
— Editorial Team
Noch keine Kommentare.