Thought Leadership
Forscher des IT-Sicherheitsunternehmens ESET haben eine neue Cyberbedrohung aufgedeckt, die gezielt freiberufliche Softwareentwickler aus der Kryptowährungsbranche ins Visier nimmt. Die als „DeceptiveDevelopment“ bezeichnete Kampagne zielt darauf ab, Zugangsdaten und Kryptowährungen zu stehlen.
Besonders perfide ist die Vorgehensweise der Angreifer: Sie tarnen sich als vermeintliche Recruiter und nutzen bekannte Plattformen wie LinkedIn, Upwork, Moonlight und Freelancer.com, um an ihre Opfer heranzukommen. Dabei sind Entwickler auf Windows-, Linux- und macOS-Systemen gleichermaßen betroffen. Experten vermuten eine Verbindung der Hacker zu Nordkorea, auch wenn keine eindeutige Gruppenzuordnung möglich war.
Gefälschte Bewerbungsgespräche als Angriffsmethode
Die Cyberkriminellen erstellen täuschend echte Jobanzeigen auf renommierten Plattformen und sozialen Netzwerken, um Entwickler anzulocken. Sie verwenden dabei gefälschte oder übernommene Accounts realer Nutzer.
Sobald ein potenzielles Opfer Interesse zeigt, leiten die Angreifer die nächste Phase ein: ein scheinbar seriöses Bewerbungsgespräch mit einem anschließenden Codierungstest. Dieser Test soll angeblich die Fähigkeiten der Bewerber überprüfen, enthält jedoch versteckte Schadsoftware in den Projektdateien. Wer diese herunterlädt und ausführt, gibt den Hackern ungewollt Zugang zum eigenen System.
ESET-Forscher Matěj Havránek erklärt dazu: „Die Angreifer verwenden eine clevere Taktik: Sie verstecken den Schadcode als einzelne Zeile in einer harmlos erscheinenden Komponente des Projekts. Auf diese Weise wird er aus dem Bildschirm verschoben und bleibt weitgehend verborgen.“
Zwei-Stufen-Angriff mit spezialisierter Malware
Nach erfolgreicher Infektion verläuft der Angriff in zwei Phasen. Zunächst kommt die Malware „BeaverTail“ zum Einsatz, die Login-Daten aus Webbrowsern extrahiert und eine zweite Schadsoftware, „InvisibleFerret“, nachlädt. Letztere dient als Spionage-Tool und erlaubt den Angreifern Fernzugriff auf das kompromittierte Gerät.
Neben dem direkten Datendiebstahl setzen die Kriminellen auch legitime Fernwartungssoftware wie AnyDesk ein, um weiteren Zugriff zu erhalten.
Das Hauptziel der Angriffe sind Krypto-Wallets der Opfer, doch auch andere sensible Informationen auf den betroffenen Geräten können gestohlen werden.
Weltweite Bedrohung ohne Grenzen
Die „DeceptiveDevelopment“-Kampagne macht keinen Halt vor bestimmten Regionen oder Nutzergruppen. Durch die Nutzung gefälschter und kompromittierter Accounts auf Jobportalen haben die Hacker eine enorme Reichweite. Besonders betroffen sind Entwickler, die in der Krypto- und Blockchain-Szene tätig sind.
Laut Matěj Havránek ist dieser Angriff Teil einer größeren Strategie: „DeceptiveDevelopment ist Teil einer größeren Strategie Nordkoreas, um über Cyberkriminalität an Geld zu kommen. Die Attacken zeigen einen Trend auf: Kryptowährungen sind mittlerweile ein beliebteres Ziel für Hacker als klassische Währungen.“
Softwareentwickler, insbesondere im Krypto-Bereich, sollten bei Jobangeboten äußerste Vorsicht walten lassen. Unbekannte Recruiter und verdächtige Bewerbungsprozesse sollten mit Skepsis betrachtet werden. Regelmäßige Sicherheitsupdates, der Verzicht auf das Öffnen unbekannter Dateien sowie eine kritische Überprüfung von Software-Downloads können helfen, sich vor solchen Angriffen zu schützen.
