Eine Windows-Variante der Schadsoftware, die über das Paket „license-utils-kit" ausgeliefert wird, geht laut Socket deutlich weiter als bloßes Datensammeln. Boychenko spricht von einem „vollständigen Implantat für die Phase nach der Kompromittierung". Es kann Shell-Befehle ausführen, Tastatureingaben protokollieren, Browserdaten stehlen, Dateien hochladen, Webbrowser beenden, AnyDesk für den Fernzugriff einrichten, ein verschlüsseltes Archiv anlegen und weitere Module nachladen. Das mache diesen Cluster nicht nur wegen seiner ökosystemübergreifenden Reichweite bemerkenswert, sondern auch wegen der Tiefe der eingebetteten Funktionen für die Phase nach dem Einbruch, so der Forscher.
Auffällig an den neueren Paketen ist, dass der Schadcode nicht bei der Installation ausgelöst wird. Stattdessen ist er in scheinbar legitime Funktionen eingebettet, die zum beworbenen Zweck des Pakets passen. Im Fall von „logtrace" etwa versteckt sich der Code in der Methode „Logger::trace(i32)" — einer Stelle, die bei Entwicklern kaum Verdacht erregen dürfte.
Die Entdeckung ist Teil einer breiter angelegten Lieferketten-Kampagne nordkoreanischer Hackergruppen. Dazu zählt auch die Manipulation des verbreiteten npm-Pakets Axios, über das ein Implantat namens WAVESHAPER.V2 verteilt wurde. Die Angreifer hatten zuvor über eine maßgeschneiderte Social-Engineering-Kampagne die Kontrolle über das npm-Konto des Paket-Betreuers übernommen.
Dieser Angriff wird einem finanziell motivierten Akteur namens UNC1069 zugeschrieben, der sich mit den Gruppen BlueNoroff, Sapphire Sleet und Stardust Chollima überschneidet. Die Security Alliance (SEAL) berichtet, sie habe zwischen dem 6. Februar und dem 7. April 2026 insgesamt 164 mit UNC1069 verbundene Domains blockiert, die Dienste wie Microsoft Teams und Zoom imitierten.
Laut SEAL führt UNC1069 mehrwöchige, druckarme Social-Engineering-Kampagnen über Telegram, LinkedIn und Slack. Die Angreifer geben sich als bekannte Kontakte oder glaubwürdige Marken aus oder nutzen Zugänge zu bereits kompromittierten Konten von Unternehmen und Einzelpersonen, bevor sie einen gefälschten Einladungslink zu einem Zoom- oder Microsoft-Teams-Meeting verschicken. Diese Links dienen als Köder nach Art von ClickFix und führen zur Ausführung von Malware, die einen vom Angreifer kontrollierten Server kontaktiert — für Datendiebstahl und gezielte Aktivitäten nach dem Einbruch unter Windows, macOS und Linux.
Bemerkenswert ist die Geduld der Angreifer: „Die Betreiber handeln nach dem ersten Zugriff bewusst nicht sofort. Das Implantat bleibt nach der Kompromittierung eine Zeit lang inaktiv oder passiv", so SEAL. Das Opfer setze den fehlgeschlagenen Anruf in der Regel neu an und arbeite normal weiter, ohne zu bemerken, dass das Gerät kompromittiert ist. Dieses Vorgehen verlängere das Zeitfenster und maximiere den Ertrag, bevor eine Reaktion auf den Vorfall ausgelöst werde.
Microsoft erklärte gegenüber The Hacker News, finanziell motivierte nordkoreanische Akteure entwickelten ihr Werkzeugarsenal und ihre Infrastruktur fortlaufend weiter und nutzten Domains, die sich als US-amerikanische Finanzinstitute und Videokonferenz-Anwendungen ausgeben. Sherrod DeGrippo, bei Microsoft für Threat Intelligence zuständig, sprach von einer fortlaufenden Weiterentwicklung bei Werkzeugen, Infrastruktur und Zielauswahl — bei klarer Kontinuität in Verhalten und Absicht.
