In einer Aufarbeitung auf GitHub schilderte Saayman den Ablauf der Täuschung, die rund zwei Wochen vor dem eigentlichen Angriff begann. Die Angreifer traten als Gründer eines Unternehmens auf und ahmten sowohl die Person als auch die Firma nach. Saayman wurde in einen realen Slack-Workspace mit mehreren aktiven Kanälen eingeladen, den er als „äußerst überzeugend“ beschrieb.
Anschließend folgte eine Einladung zu einem Treffen über Microsoft Teams. Dort wurde Saayman aufgefordert, eine fehlende Datei zu installieren, da sein System angeblich veraltet sei. Bei der Datei handelte es sich um den RAT, der danach über das NPM-Paket verbreitet wurde. Bemerkenswert: Der Trojaner verschaffte den Angreifern vollständige Kontrolle über den Rechner, obwohl für das NPM-Konto eine Zwei-Faktor-Authentifizierung aktiviert war.
Die Sicherheitsforscherin Taylor Monahan veröffentlichte im selben Thread eine technische Analyse der Kampagne. Sie beschrieb, dass die Täter viel Zeit in die Phase vor dem entscheidenden Anruf investierten: keine Dringlichkeit, kein Ein-Klick-Phishing, Termine würden verschoben – all das diene dazu, das Ziel in Sicherheit zu wiegen. Laut Monahan greifen diese nordkoreanischen Akteure seit Jahren Krypto-Gründer, Risikokapitalmanager und Personen des öffentlichen Lebens an, mal um Informationen oder Kryptowährung zu stehlen, mal um langfristigen Zugang zu erlangen oder Keylogger zu installieren. Sobald die Angreifer im System seien, spiele die Zwei-Faktor-Authentifizierung keine Rolle mehr.
Der Sicherheitsanbieter Socket veröffentlichte kürzlich Forschungsergebnisse zu der breit angelegten Kampagne. Demnach wurden zahlreiche Mitglieder der Open-Source-Community ins Visier genommen, darunter mehrere Socket-Ingenieure sowie Geschäftsführer Feross Aboukhadijeh, der an dutzenden weit verbreiteten NPM-Paketen mitgewirkt hat.
Aboukhadijeh sieht eine grundlegende Verschiebung: Während solche Angriffe früher hochwertigen Einzelzielen wie Krypto-Gründern vorbehalten waren, ändere sich die Reichweite völlig, wenn dieselbe Methode auf Open-Source-Maintainer gerichtet werde. „Eine erfolgreiche Kompromittierung bringt nicht ein Wallet, sondern Schreibzugriff auf ein Paket, das hunderte Millionen Mal pro Woche heruntergeladen wird“, sagt er. Als Ursachen nennt er das Zusammenspiel mehrerer Faktoren: KI senke die Kosten für den Aufbau von Vertrauen, Mechanismen wie ClickFix machten die Auslieferung der Schadlast reibungslos, und das Werkzeug der Angreifer sei deutlich gereift.
Sarah Kern, leitende Bedrohungsforscherin bei Sophos, ordnet den Angriff in eine seit Jahren von Nordkorea betriebene Linie ein: Es brauche nur ein einziges hochwertiges Opfer für einen großflächigen Angriff, doch diese Akteure planten solche Vorhaben hauptberuflich und mit Rückendeckung des Regimes.
Tom Hegel von SentinelOne verweist auf die gereifte Infrastruktur staatlich gestützter Gruppen. Der langsame Ansatz sei früher wegen des hohen Personalaufwands von Natur aus begrenzt gewesen – diese Beschränkung lockere sich nun. Man solle dies als dauerhafte Verschiebung der Bedrohungslage begreifen, nicht als kurzfristigen Ausschlag.
