ZURÜCK ZU NACHRICHTEN
Forschung

Nordkoreanische APT-Gruppen zielen mit gefälschten Coding-Challenges auf Entwickler ab

2 Min. LesezeitQuelle: Schneier on Security

Sicherheitsforscher enthüllen eine raffinierte Kampagne nordkoreanischer APT-Gruppen, die sich als Personalvermittler ausgeben, um Entwickler mit malwareverseuchten Coding-Challenges zu infizieren.

Nordkoreanische Bedrohungsakteure nutzen Job-Recruiting-Prozess für Malware-Verbreitung

Sicherheitsforscher haben eine ausgeklügelte Kampagne aufgedeckt, bei der nordkoreanische Advanced Persistent Threat (APT)-Gruppen sich als Unternehmensrekruter ausgeben, um Softwareentwickler mit malwarebelasteten Coding-Challenges anzugreifen. Die Angriffe, erstmals von ReversingLabs dokumentiert, zeigen eine sich weiterentwickelnde Taktik in der Cyber-Spionage und Supply-Chain-Kompromittierung.

Wichtige Details des Angriffs

  • Bedrohungsakteure: Nordkoreanische staatlich unterstützte Hackergruppen, wahrscheinlich einschließlich der Lazarus Group oder ihrer Ableger.
  • Zielgruppe: Softwareentwickler, insbesondere im Bereich Kryptowährungen und Blockchain.
  • Methode: Gefälschte Jobangebote mit bösartigen Coding-Challenges, die als technische Bewertungen getarnt sind.
  • Nutzlast: Die Ausführung des bereitgestellten Codes führt zur Installation von Malware, die Fernzugriff, Datenexfiltration oder weitere laterale Bewegungen ermöglicht.

Technische Analyse

Der Angriff beginnt damit, dass sich die Bedrohungsakteure als legitime Personalvermittler ausgeben, oft über LinkedIn oder E-Mail, und lukrative Jobangebote unterbreiten. Die Opfer werden aufgefordert, eine Coding-Challenge auf Plattformen wie GitHub oder GitLab zu absolvieren. Der bereitgestellte Code enthält jedoch verschleierte Malware – typischerweise eine Backdoor oder einen Remote Access Trojaner (RAT).

Die Analyse von ReversingLabs zeigt, dass die Malware folgende Techniken nutzen könnte:

  • Living-off-the-land-Binaries (LOLBins), um der Erkennung zu entgehen.
  • Kodierte Nutzlasten in scheinbar harmlosen Skripten (z. B. Python, PowerShell).
  • Persistenzmechanismen wie geplante Aufgaben oder Registry-Änderungen.

Es wurden keine spezifischen CVE-IDs offengelegt, aber der Angriff steht im Einklang mit der nordkoreanischen Geschichte der Angriffe auf Entwickler, um Software-Supply-Chains zu kompromittieren (z. B. die SolarWinds-ähnlichen Angriffe von 2020).

Auswirkungen und Motivation

Die Hauptziele dieser Kampagne umfassen wahrscheinlich:

  • Cyber-Spionage: Diebstahl von geistigem Eigentum oder sensiblen Projektdaten.
  • Supply-Chain-Kompromittierung: Infizierung von Entwicklern, um später Malware über legitime Software-Updates zu verbreiten.
  • Finanzieller Diebstahl: Angriffe auf Kryptowährungsentwickler, um Diebstahl oder Geldwäsche zu ermöglichen.

Entwickler in hochwertigen Sektoren (z. B. Fintech, Blockchain) sind besonders gefährdet, da ihre Systeme oft Zugang zu proprietären Codebasen oder Produktionsumgebungen haben.

Abwehrmaßnahmen und Empfehlungen

Sicherheitsteams und einzelne Entwickler sollten folgende Schritte ergreifen:

  1. Rekruter verifizieren: Identitäten von Personalvermittlern über offizielle Unternehmenskanäle überprüfen, bevor man sich auf Gespräche einlässt.
  2. Coding-Challenges isolieren: Nicht vertrauenswürdigen Code in isolierten Umgebungen ausführen (z. B. Docker-Container, virtuelle Maschinen).
  3. Anomalien überwachen: Endpoint Detection and Response (EDR)-Tools einsetzen, um verdächtige Prozessausführungen zu erkennen.
  4. Teams schulen: Entwickler über die Risiken von Social Engineering aufklären, insbesondere im Kontext von Rekrutierungsprozessen.
  5. Prinzip der geringsten Privilegien durchsetzen: Lokale Admin-Rechte einschränken, um die Auswirkungen von Malware zu minimieren.

Für weitere Details siehe den ReversingLabs-Bericht und die Berichterstattung von BleepingComputer.

Teilen

TwitterLinkedIn