29.05.2025

CSO Online 29.05.2025 8:00

Malware is evolving rapidly, driven by advances in AI and changes in computing infrastructures.

Security professionals must continuously educate themselves on these trends to defend against increasingly sophisticated threats.

The traditional game of cat and mouse between security attackers and defenders has got fiercer with fresh techniques evolving and older less effective approaches falling out of fashion.

Here is a look at what’s heating up in the world of malware — and what’s cooling off.

Infostealers commoditizing initial access

Infostealers have experienced huge growth of late, with a 58% increase in infection attempts year-over-year, according to cybersecurity vendor Immersive.

Malware such as Lumma Stealer, StealC, and RisePro are now responsible for 75% of all stolen credentials.

Infostealers steal browser cookies, VPN credentials, MFA (multi-factor authentication) tokens, crypto wallet data, and more. Cybercriminals sell the data that infostealers grab through dark web markets, giving attackers easy access to corporate systems.

“This shift commoditizes initial access, enabling nation-state goals through simple transactions rather than complex attacks,” says Ben McCarthy, lead cyber security engineer at Immersive.

Malicious packages targeting developer environments

Threat actors are systematically compromising the software supply chain by embedding malicious code within legitimate development tools, libraries, and frameworks that organizations use to build applications.

“These supply chain attacks exploit the trust between developers and package repositories,” Immersive’s McCarthy tells CSO. “Malicious packages often mimic legitimate ones while running harmful code, evading standard code reviews.”

In 2024, researchers found 512,847 malicious packages — a 156% year-over-year increase — across software development ecosystems such as NPM, PyPI, and AI platforms like HuggingFace.

Ransomware becoming more targeted and sophisticated

The ransomware landscape has shifted dramatically since law enforcement cracked down on major groups like LockBit.

Modern ransomware threat actors such as RansomHub and Akira now favor smaller, highly targeted attacks, using ransomware as a final step after full infiltration and data exfiltration. This marks a move from broad, opportunistic strikes to focused, high-value campaigns.

“These targeted approaches show threat actors’

Infosecurity Magazine 28.05.2025 17:00
A spoofed Bitdefender site has been used in a malicious campaign distributing VenomRAT and other malware, according to DomainTools

Infosecurity Magazine 28.05.2025 15:45
This is the first time Czech authorities have officially called out a nation-state over a cyber-attack

Infosecurity Magazine 28.05.2025 15:00
A flaw in OneDrive File Picker has exposed millions to data overreach through excessive OAuth permissions

Golem 28.05.2025 13:40
Innerhalb weniger Tage wollen zwei verschiedene Cyberakteure interne Daten von Coca-Cola erbeutet haben. Teilweise reichen diese zurück bis 2016. (Cybercrime, Datenbank)

Heise Security 28.05.2025 13:18
Geklaute iPhones sind oftmals gut gesichert. Diebe wollen unbedingt an die Geräte-PIN. Dafür nutzen sie zunehmend professionellere Tricks.

Infosecurity Magazine 28.05.2025 11:00
A Vietnam-nexus hacking group distributes infostealers and backdoors via social media ads promoting fake AI generator websites

Infosecurity Magazine 28.05.2025 10:15
A newly-discovered Russian group, Void Blizzard, has successfully compromised organizations in critical industries, Microsoft warned

CSO Online 28.05.2025 6:00

Zertifizierte IT-Sicherheitsprofis sind (unter anderem) gefragter und verdienen besser.Gorodenkoff | shutterstock.com

(Cybersecurity-)Zertifizierungen können eine aktienähnliche Volatilität entfalten: Ihre Popularität kann steigen oder auch fallen – und sie können an Relevanz verlieren, wenn sie nicht mit den aktuellen Branchenentwicklungen Schritt halten. Allerdings sind davon nicht alle Zertifizierungen gleichermaßen betroffen: Sogenannte “Blue Chips” haben sich über den Lauf der Zeit bewährt und gelten dauerhaft als hochwertiger Kompetenznachweis. Sie realisieren sowohl für ihre Inhaber, als auch für die Unternehmen, die diese beschäftigen, zahlreiche Vorteile.

Das belegt etwa ein Blick in den aktuellen “IT Skills & Salary Report” (Download gegen Daten) von Skillsoft, für den der E-Learning-Anbieter weltweit 5.100 IT-Profis aus allen Branchen befragt hat. Von diesen konnten dank einer Zertifizierung:

60 Prozent ihre Arbeitsqualität verbessern,

48 Prozent zusätzliche Motivation für ihren Job gewinnen,

43 Prozent ihre Produktivität optimieren,

24 Prozent ihre Fehlerraten reduzieren,

20 Prozent eine Gehaltserhöhung erzielen,

16 Prozent einen neuen Job ergattern, sowie

16 Prozent von einer Beförderung profitieren.  

In diesem Artikel haben wir die derzeit angesehensten und mit Blick auf den Return on Investment vielversprechendsten Cybersecurity-Zertifizierungen für Sie zusammengestellt.

AWS Certified Security – Specialty

Für Security-Profis, die eine herstellerspezifische Zertifizierung anstreben, bietet die Zertifizierung AWS Certified Security – Specialty einen direkten Weg zu einer Cloud-Security-Rolle in Unternehmen, die auf Amazon Web Services setzen. Diese eignet sich für Fachleute aus den Bereichen Cloud-Architektur, Datenbanken, Netzwerke sowie DevSecOps und bescheinigt (AWS-)Kompetenzen in:

Datenklassifizierung,

Datenschutzmechanismen,

Verschlüsselungsmethoden und

Internetprotokollen.

Absolventen, die diese Zertifizierung in der Tasche haben, eröffnet sich damit der Weg zu weiteren AWS-spezifischen Zertifizierungen – etwa  AWS Certified DevOps Engineer – Professional oder AWS Certified Advanced Networking – Specialty.

Voraussetzungen: Als Qualifikationsvoraussetzung empfiehlt AWS fünf Jahre Erfahrung im Bereich IT-Sicherheit und zwei Jahre, wenn es darum geht, AWS-Workloads abzusichern.

Kosten: kostenloser Standard-

CSO Online 27.05.2025 19:57

The rapid adoption of AI for code generation has been nothing short of astonishing, and it’s completely transforming how software development teams function. According to the 2024 Stack Overflow Developer Survey, 82% of developers now use AI tools to write code. Major tech companies now depend on AI to create code for a significant portion of their new software, with Alphabet’s CEO reporting on their Q3 2024 that AI generates approximately 25% of Google’s codebase. Given how rapidly AI has advanced since then, the percentage of AI-generated code at Google is likely now far higher.

But while AI can vastly increase efficiency and accelerate the pace of software development, the use of AI-generated code is creating serious security risks, all while new EU regulations are raising the stakes for code security. Companies are finding themselves caught between two competing imperatives: maintaining the rapid pace of development necessary to remain competitive while ensuring their code meets increasingly stringent security requirements.

The primary issue with AI generated code is that the large language models (LLMs) powering coding assistants are trained on billions of lines of publicly available code—code that hasn’t been screened for quality or security. Consequently, these models may replicate existing bugs and security vulnerabilities in software that uses this unvetted, AI-generated code.

Though the quality of AI-generated code continues to improve, security analysts have identified many common weaknesses that frequently appear. These include improper input validation, deserialization of untrusted data, operating system command injection, path traversal vulnerabilities, unrestricted upload of dangerous file types, and insufficiently protected credentials (CWE 522).

Black Duck CEO Jason Schmitt sees a parallel between the security issues raised by AI-generated code and a similar situation during the early days of open-source.

“The open-source movement unlocked faster time to market and rapid innovation,” Schmitt says, “because people could focus on the domain or expertise they have in the market and not spend time and resources building foundational elements like networking and infrastructure that they’re not good at. Generative AI provides the same advantages at a greater scale. However, the challenges are also similar, because just like open source did, AI is injecting a lot of new code that contains is

The Hacker News 27.05.2025 18:23
Misconfigured Docker API instances have become the target of a new malware campaign that transforms them into a cryptocurrency mining botnet.
The attacks, designed to mine for Dero currency, is notable for its worm-like capabilities to propagate the malware to other exposed Docker instances and rope them into an ever-growing horde of mining bots.
Kaspersky said it observed an unidentified threat

Infosecurity Magazine 27.05.2025 15:00
A novel attack exploited machine learning models on PyPI, using zipped Pickle files to deliver infostealer malware

CSO Online 27.05.2025 14:44

Nachdem die Hackergruppe Scattered Spider unter britischen Einzelhändlern gewütet hat, verstärkt sie ihre Kooperation mit RaaS und weitet ihr Jagdgebiet aus.
enzozo – shutterstock.com

Der britische Einzelhändler Marks & Spencer wurde Ende April durch eine Cyberattacke erheblich in seinem Geschäftsbetrieb gestört. Voraussichtlicher Schaden: über 400 Millionen Dollar. Kurz darauf ereigneten sich ähnliche Angriffe auf die Einzelhändler Harrods und Co-op.

Alle drei Angriffe werden einer Bande junger, englischsprachiger Hacker namens Scattered Spider zugeschrieben. Die Bande ist auch unter verschiedenen anderen Namen wie UNC3944, Starfraud sowie Octo Tempest bekannt und scheint Teil der schwer fassbaren Cyberkriminellen-Szene „The Com“ zu sein.

Spinne und Drache machen gemeinsame Sache

Seit kurzem arbeitet Scattered Spider mit dem Ransomware-as-a-Service-Anbieter (RaaS) DragonForce zusammen, der sich als pro-palästinensische Hacktivisten ausgibt. Möglicherweise agiert die RaaS-Gruppe aber auch unter Duldung des russischen Staates. Ein Beleg dafür könnte sein, dass DragonForce davor warnte, Ziele in der Gemeinschaft Unabhängiger Staaten (GUS) anzugreifen. Die rivalisierende Gruppe RansomHub wirft ihnen zudem vor mit dem russischen Geheimdienst FSB zusammenzuarbeiten.

Die genaue Beziehung zwischen Scattered Spider und der Ransomware-Gruppe DragonForce ist unklar, obwohl Scattered Spider deren Malware nutzt. Experten wie Mike Hamilton, Bereichsleiter CISO bei Lumifi Cyber, vermuten, dass DragonForce nach dem russischen Modell lediglich Tools und Infrastruktur vermietet.

Laut Zach Edwards, leitender Bedrohungsforscher bei Silent Push, ist jedoch klar, dass es sich bei DragonForce um eine der gefährlichsten Ransomware-Gruppen handelt, die zudem mit einer technisch äußerst effizienten Schadsoftware hantiert.

Totgeglaubte leben länger

Für Scattered Spider lief in den letzten zwei Jahren jedoch auch nicht alles rosig, wurden doch mehrere Mitglieder festgenommen, darunter die Schlüsselfigur „King Bob“ und sechs weitere führende Mitglieder Ende 2024. Diese Strafverfolgungsmaßnahmen führten Anfang 2025 zu einem vorübergehenden Rückgang der Aktivitäten der Gruppe. Doch laut Beobachtungen von Silent Push wurden ihre Phishing-Kits Anfang 2025 wieder aktiv und richteten sich erneut gegen bekannte Marken.

Experten beobachten, dass Scattered Spider seine Taktik lokal verändert. So setzt di

Heise Security 27.05.2025 8:49
Trend Micros Virenanalysten haben eine Kampagne auf Tiktok aufgespürt, die Opfer anleitet, Infostealer-Malware zu installieren.

The Hacker News 26.05.2025 16:17
As many as 60 malicious npm packages have been discovered in the package registry with malicious functionality to harvest hostnames, IP addresses, DNS servers, and user directories to a Discord-controlled endpoint.
The packages, published under three different accounts, come with an install‑time script that’s triggered during npm install, Socket security researcher Kirill Boychenko said in a

CSO Online 26.05.2025 14:53

A quantum computer with one million noisy qubits running for one week can theoretically crack RSA-2048 bit encryption, representing twenty times fewer qubits than Google’s 2019 estimate, according to new research from Google Quantum AI.

The findings sharply compress the timeline for when current encryption standards could fall, compelling enterprises to accelerate post-quantum cryptography (PQC) adoption.

“For decades the quantum and security communities have also known that large-scale quantum computers will at some point in the future likely be able to break many of today’s secure public key cryptography algorithms,” Google researchers Craig Gidney and Sophie Schmieg wrote in a blog post.  

The findings arrive amid rapid progress in quantum computing. While current systems still operate with only hundreds of qubits, Google’s research shows that three technical breakthroughs — more efficient algorithms, advanced error correction, and optimized quantum operations — are dramatically lowering the threshold for real-world cryptographic threats.

Specifically, the team adopted a 2024 method for approximate modular exponentiation, slashing overhead from 1000x to just 2x. They also tripled the logical qubit density through layered error correction and introduced “magic state cultivation” to streamline quantum processing.

Narayan Gokhale, VP & principal analyst at QKS Group, called the findings a “wake-up call for measured urgency, not panic,” saying they affirm existing PQC timelines but stress the need to fast-track transitions for long-lived or high-risk cryptographic systems.

The rate of progress marks a steep acceleration. Since Peter Shor’s 1994 revelation that quantum computers could theoretically break RSA, resource estimates have plummeted—from one billion qubits in 2012 to just one million today.

Gartner VP Analyst Bart Willemsen warned that “quantum computing will weaken asymmetric cryptography by 2029.” Given that cryptographic upgrades often span multiple years, he urged organizations to begin strategic planning now, especially for infrastructure with hard-coded crypto dependencies. Many developers, he noted, lack deep familiarity with cryptographic libraries and hash functions, making early inventory, performance testing, and system mapping essential to any realistic PQC roadmap.

Enterprise security implications

For security leaders, the research highlights two imm

Golem 26.05.2025 11:40
Gitlab Duo hatte zuletzt ernste Sicherheitsprobleme. Angreifer konnten privaten Quellcode abgreifen oder Schadcode in fremde Softwareprojekte einschleusen. (Sicherheitslücke, KI)

CSO Online 26.05.2025 11:40

Bei einem Cyberangriff auf einen Dienstleister sind Kundendaten von Adidas abgeflossen.Sergey Kohl – shutterstock.com

Medienberichten zufolge sind Kundendaten von Adidas in die Hände eines Hackers gelangt. Demnach erfolgte der Zugriff über einen Dienstleister für den Kundenservice. “Wir haben umgehend alle erforderlichen Maßnahmen eingeleitet, um den Vorfall einzudämmen“, versicherte der Sportartikelhersteller am vergangenen Freitag (23. Mai 2025).

Nach Angaben von Adidas sind Zahlungsrelevante Informationen wie Passwörter oder Kreditkartendaten bei dem Angriff verschont geblieben. Die gestohlenen Daten würden hauptsächlich Kontaktinformationen von bestimmten Kunden umfassen, die den Helpdesk des Kundenservice in der Vergangenheit kontaktiert hätten, erklärte das Unternehmen.

Weitere Details zu dem Angriff gibt es bisher nicht. Unklar ist, wie der Täter in das System eindringen konnte. Ob es sich dabei um eine Ransomware-Attacke mit Lösegeldforderung handelt, ist ebenfalls nicht bekannt.

Adidas hat nach eigenen Angaben eine umfassende Untersuchung in Zusammenarbeit mit führenden Experten für Informationssicherheit gestartet. Zudem habe man alle potenziell betroffenen Kunden sowie die Datenschutz- und Sicherheitsbehörden über den Vorfall informiert, betont der Sportartikelriese.

Das ist jedoch nicht der erste Datenschutzvorfall bei Adidas. Bereits im Jahr 2018 berichtete die Modeplattform Fashion United darüber, dass Daten von US-Kunden gestohlen wurden.

Lesetipp: Diese Unternehmen hat es schon erwischt