Ein SBOM ist eine strukturierte Auflistung aller Komponenten einer Software – inklusive Versionen, Lizenzen und Herkunft. Er hilft Unternehmen, Transparenz in die eigene Softwarelandschaft zu bringen und schnell auf Bedrohungen reagieren zu können.
Ein neues Beispiel für ausgefeilte Software-Supply-Chain-Angriffe legt offen, wie raffiniert Bedrohungsakteure inzwischen vorgehen, um in Unternehmensnetzwerke einzudringen – ohne auffällige Spuren zu hinterlassen. Im Januar 2026 wurde ein manipuliertes Paket im offiziellen Python Package Index (PyPI) entdeckt, das sich als legitime Entwicklungsversion der beliebten SymPy-Bibliothek tarnte. Statt mathematische Funktionen zu liefern, installiert es im Hintergrund einen Cryptominer auf betroffenen Linux-Systemen.
Diese Attacke betrifft nicht nur Entwickler – sie offenbart gefährliche Schwachstellen in der Softwarebereitstellung vieler Unternehmen. Wer Open-Source-Software in Entwicklungs- und Produktionsumgebungen nutzt, öffnet ohne flankierende Sicherheitsstrategien das Tor für Industriespionage, Ressourcenraub und systematische Wirtschaftskriminalität.
Ob Mittelstand, Konzern oder kritische Infrastruktur – dieser Vorfall ist keine Einzelerscheinung. Führungskräfte in der Verantwortung – CEOs, CIOs, CISOs und CSOs – müssen erkennen: Die Angriffsfläche hat sich erweitert. Und mit ihr die Risiken für geistiges Eigentum, operative Stabilität und Reputationsschäden.
Was genau passiert ist, wie Sie – mit Unterstützung von ProSec – Ihre Organisation resilient aufstellen und was diese Attacke für Ihre Software-Sicherheitsstrategie bedeutet, zeigen wir Ihnen in diesem Leitartikel.
Das als „sympy-dev“ veröffentlichte Paket imitierte täuschend echt das originale Projekt „SymPy“ – eine weithin genutzte Python-Bibliothek für symbolische Mathematik. Der Clou: Die manipulierte Version enthielt dieselbe Projektbeschreibung wie das Original um Vertrauen zu erwecken. Mehr als 1.100 Downloads wurden registriert – genug, um davon auszugehen, dass reale Systeme kompromittiert wurden.
Die Schadfunktion in diesem Fall war gezielt so versteckt, dass sie erst bei Nutzung spezifischer mathematischer Funktionen („polynomial routines“) aktiviert wird. Ein digitaler „Schläfer“ in der Entwicklungsumgebung – mit fatalen Folgen: Sobald aktiviert, lädt das Paket einen XMRig-Cryptominer und führt ihn über einen speicherbasierten Mechanismus (memfd_create) auf dem Linux-Host aus, ohne Hinweise auf der Festplatte zu hinterlassen.
Ein Angriff, der nicht nur CPU-Ressourcen raubt, sondern wertvolle Einfallstore für nachgelagerte Angriffe wie Datenexfiltration, Spionage oder Erpressung bietet – denn die Schadsoftware dient auch als generischer Loader, um weiteren Code nachzuladen.
Diese Techniken folgen dem Muster anderer komplexer Supply-Chain-Attacken, wie sie bereits in früheren Angriffsserien wie „FritzFrog“ oder „MIMO“ beobachtet wurden [z. B. hier dokumentiert ]
Was diesen Vorfall so gefährlich macht, ist nicht das Crypto-Mining an sich, sondern das dahinterliegende Muster gezielter Täuschung in der Lieferkette.
Wer heute auf Softwarekomponenten von Drittanbietern – insbesondere Open-Source – setzt, trifft eine geschäftskritische Entscheidung. Denn: Software-Abhängigkeiten sind tief in Build-Prozesse, Produkte und Kundenschnittstellen integriert. Der Einschleusungspunkt solcher Schadcode-Komponenten liegt meist nicht im klassischen Betrieb, sondern in der Entwicklungsumgebung – genau da, wo viele Unternehmen kaum visiblität oder Schutzmechanismen eingerichtet haben.
Zugleich sind Open-Source-Pakete essenziell für Agilität, Innovation und Wettbewerbsvorteile. Die Abhängigkeit ist real – aber absichern lässt sie sich.
Im konkreten Fall handelte es sich um klassische „Kryptojacking“ – also um das heimliche Ausnutzen von IT-Ressourcen für das Schürfen von Kryptowährungen, hier mittels XMRig. Doch das ist nur die Spitze des Eisbergs. Modern strukturierte Angreifer nutzen solche Erstinfektionen häufig dazu, systematisch Informationen zu gewinnen, Netze zu kartieren und gezielt Vertikalindustrien – etwa im Maschinenbau, der Forschung oder Verteidigungsbranche – zu infiltrieren.
Das Geschäftsmodell der Angreifer hat sich professionalisiert. Es geht um langfristigen Diebstahl geistigen Eigentums. Um Erpressung. Um Sabotage. Und um verlässliche Monetarisierung kompromittierter Unternehmen.
Die größte Schwäche, die wir bei ProSec in Projektanalysen und Incident-Response-Szenarien immer wieder beobachten: Unternehmen verlassen sich zu häufig auf klassische Endpoint- und Netzwerk-Security. Doch Angriffe wie dieser passieren im „Graubereich“ – zur Entwicklungszeit, zwischen IDE und Repository, innerhalb scheinbar harmloser Bibliotheken.
Traditionelle Sicherheitstools erkennen weder die Tarnung in legitimen Paketen noch Speicher-basierte Ausführungen ohne Artefakte auf dem Datenträger. Auch werden kritische Prozesse z. B. in CI/CD-Pipelines oft nicht als sicherheitsrelevant betrachtet – ein Trugschluss.
Eine aktuelle Analyse des MITRE ATT&CK Frameworks zeigt deutlich: Angreifer setzen zunehmend auf Techniken in der Phase Initial Access und Lateral Movement, die mit sogenannten Living-Off-the-Land-Tactics (LOTL) arbeiten – also mit legitimen Funktionen innerhalb des Systems, die sich für bösartige Zwecke umnutzen lassen.
Hier reichen keine reaktiven Maßnahmen mehr. Unternehmen müssen Supply-Chain-Security als unternehmensweite Disziplin etablieren – unter Einbindung von Führungsebene, Einkauf, Legal & Compliance, Entwicklung und IT-Sicherheit.
C-Level-Verantwortliche müssen u. a. folgende Fragen mit einem klaren Sicherheitskonzept beantworten können:
Wir bei ProSec unterstützen Unternehmen dabei, nicht nur die richtigen technischen Tools zu identifizieren, sondern vor allem ganzheitliche Sicherheitsstrategien umzusetzen, von denen Sie unternehmerisch profitieren. Unser Fokus liegt auf nachhaltiger Belastbarkeit Ihrer digitalen Lieferketten – unabhängig davon, ob Sie selbst entwickeln oder mit Dienstleistern arbeiten.
Unser Serviceportfolio umfasst:
Dabei stellen wir nicht nur Technologie zur Verfügung, sondern verknüpfen sie mit Ihrem Geschäftsziel. Auf Sicherheit reduziert sich unternehmerisches Risiko, erhöht die Marktposition – und schafft Vertrauen beim Kunden und Investor.
Lassen Sie uns gemeinsam verhindern, dass aus einfacher Software ein Einfallstor für hochentwickelte Angriffe wird.
Ein Supply-Chain-Angriff zielt darauf ab, Schwachstellen in vorgelagerten Prozessen oder Zulieferern auszunutzen – z. B. durch Verfälschung von Softwarepaketen, Sicherheitslücken bei Drittanbietern oder kompromittierte Build-Tools.
Dabei handelt es sich um eine Linux-Funktion zur Erstellung speicherbasierter Dateideskriptoren. Sie erlaubt das Ausführen von Programmen direkt im Arbeitsspeicher – und erschwert damit deren Erkennung, da keine Datei auf dem Datenträger liegt.
Ein Cryptominer nutzt die Rechenressourcen eines Computers, um Kryptowährungen zu generieren – meist ohne Wissen des Nutzers. XMRig ist ein häufiger Vertreter, vor allem im Kontext unautorisierter Mining-Attacken (sog. Kryptojacking).
Python-Pakete sind wiederverwendbare Softwaremodule, die über zentrale Plattformen wie das Python Package Index (PyPI) öffentlich zugänglich sind. Entwickler binden sie häufig in eigene Programme ein – was Angreifern eine ideale Einflugschneise bietet.
Ein SBOM ist eine strukturierte Auflistung aller Komponenten einer Software – inklusive Versionen, Lizenzen und Herkunft. Er hilft Unternehmen, Transparenz in die eigene Softwarelandschaft zu bringen und schnell auf Bedrohungen reagieren zu können.
