MalwareSchwachstellenHackerangriffe

Nordkoreanische Hacker verbreiten 1.700 Malware-Pakete in Open-Source-Plattformen

Nordkoreanische Hacker verbreiten 1.700 Malware-Pakete in Open-Source-Plattformen
Zusammenfassung

Die nordkoreanische Hacker-Gruppe hinter der Kampagne „Contagious Interview" hat massiv zugeschlagen und über 1.700 bösartige Softwarepakete in den Open-Source-Ökosystemen npm, PyPI, Go und Rust verbreitet. Diese getarnte Malware wurde gezielt als legitime Entwickler-Tools konzipiert und dient als Loader für Spyware und Remote-Access-Trojaner, die Daten aus Webbrowsern, Passwort-Managern und Krypto-Wallets stehlen. Besonders perfide: Der bösartige Code wird nicht bei der Installation ausgelöst, sondern versteckt sich in vermeintlich harmlosen Funktionen, die die Nutzer verdächtig nicht erregen. Die Kampagne ist Teil einer umfassenden Supply-Chain-Anschlagsserie nordkoreanischer Hacker, die sich als die Sicherheitsfirma Socket zufolge eng mit finanziell motivierten Akteuren wie UNC1069 überschneidet. Für deutsche Entwickler und Unternehmen stellt dies ein erhebliches Risiko dar: Wer Open-Source-Bibliotheken in seinen Projekten nutzt, könnte unwissentlich infizierte Pakete eingebunden haben und damit seine gesamte IT-Infrastruktur gefährdet haben. Besonders kritisch ist die Geduld der Angreifer – die Malware bleibt nach der Installation dormant, um schneller erkannt zu werden und ermöglicht langfristige Spionage sowie finanzielle Verluste.

Eine neue Untersuchung der Sicherheitsfirma Socket hat ein alarmierendes Ausmaß nordkoreanischer Hackeraktivitäten in der Open-Source-Welt dokumentiert. Die Kampagne “Contagious Interview” hat sich systematisch über mehrere Programmier-Ökosysteme ausgebreitet und zeigt sich damit als hochkoordinierte, gut ausgestattete Bedrohung für die globale Softwareentwicklung.

Die bösartigen Pakete sind darauf ausgerichtet, legitime Entwicklertools nachzuahmen. Besonders tückisch: Der bösartige Code wird nicht bei der Installation ausgelöst, sondern in vermeintlich harmlose Funktionen versteckt, die dem beworbenen Zweck des Pakets entsprechen. Im Fall des Pakets “logtrace” etwa versteckt sich der Schadcode in der Funktion “Logger::trace(i32)” – eine Methode, die keinen Verdacht erregen sollte.

Die geladenen Module fungieren als Malware-Loader, die plattformspezifische Zweitstufen-Payloads abrufen. Diese Malware-Varianten verfügen über Infostealer- und Remote-Access-Trojan-Funktionen, konzentrieren sich auf das Ausspähen von Webbrowsern, Passwort-Managern und Kryptowährungs-Wallets. Eine Windows-Version des Trojaners über das Paket “license-utils-kit” zeigt noch tiefere Fähigkeiten: Sie kann Shell-Befehle ausführen, Tastendrücke protokollieren, Browser-Daten stehlen und sogar Remote-Access-Tools wie AnyDesk installieren.

Die Untersuchung enthüllt auch eine parallele Bedrohungskampagne. Die finanzielle motivierte Hackergruppe UNC1069 – mit Überschneidungen zu BlueNoroff und anderen nordkoreanischen Gruppen – nutzt aufwändige Social-Engineering-Kampagnen. Sie geben sich als Microsoft Teams oder Zoom aus und versenden gefälschte Meeting-Links über Telegram, LinkedIn und Slack. Diese führen zur Installation von ClickFix-ähnlichen Schadprogrammen. Besonders bemerkenswert: Die Angreifer warten bewusst, bevor sie aktiv werden. Das Schadprogramm bleibt schlafend, während die Opfer nichts bemerken und normal arbeiten – eine Strategie, die das Erkennungsrisiko minimiert.

Microsoft warnt vor der kontinuierlichen Weiterentwicklung dieser Bedrohungen. Nordkoreanische Gruppen nutzen inzwischen Domains, die sich als US-amerikanische Finanzinstitutionen oder Videokonferenz-Anbieter tarnen. Sicherheitsexperte Sherrod DeGrippo betont: Das Verhalten und die Absichten bleiben konstant kriminell, während sich die Taktiken und Werkzeuge ständig anpassen.

Für deutsche Unternehmen und Entwickler bedeutet dies erhöhte Wachsamkeit beim Einsatz von Open-Source-Paketen und bei verdächtigen Video-Call-Anfragen.

Ähnliche Artikel