Eine koordinierte Kampagne gegen Entwickler nutzt täuschend echte Next.js-Projekte als Köder, um Malware einzuschleusen und persistente Zugriffe auf Systeme zu etablieren. Die Angreifer, möglicherweise mit Verbindungen zu Nordkorea, haben bereits hunderte Developer-Konten kompromittiert.
Microsoft hat Entwickler vor einer ausgeklügelten Kampagne gewarnt, die gefälschte Repository-Projekte als Köder einsetzt. Die Angreifer erstellen auf vertrauenswürdigen Plattformen wie Bitbucket oder GitHub täuschend echte Next.js-Repositories und technische Aufgaben, um Entwickler zum Ausführen von Malware zu bewegen.
Laut dem Microsoft Defender Security Research Team handelt es sich um eine “koordinierte Kampagne gegen Developer-Zielgruppen”, die mit Job-Angeboten lockt und auf diese Weise in alltägliche Entwickler-Workflows eindringt. Das Besondere: Die Angreifer nutzen mehrere unterschiedliche Einstiegspunkte, die alle zum gleichen Ziel führen – der Ausführung von attacker-kontrolliertem JavaScript im Speicher.
Microsoft identifizierte drei verschiedene Ausführungspfade. Allen gemeinsam ist das Ziel, JavaScript direkt im RAM auszuführen. Das initialisierte Payload profiliert das System und fragt regelmäßig einen Registrierungs-Endpunkt ab, um eine eindeutige “instanceId” zu erhalten. Diese wird dann für Folgeaktivitäten verwendet.
Die zweite Stufe der Infektion ist besonders besorgniserregend: Ein Controller transformiert die initiale Kompromittierung in einen persistenten Zugang, der es den Angreifern ermöglicht, beliebige Aufgaben auszuführen – alles im RAM und damit nahezu spurlos auf der Festplatte. Das System kann zudem neue Prozesse überwachen, Fehler protokollieren und sich auf Befehl sauber beenden.
Obwohl Microsoft keine spezifische Bedrohungsgruppe benannte, deuten mehrere Indizien auf nordkoreanische Hacker hin, die bereits in der sogenannten “Contagious Interview”-Kampagne aktiv sind. Diese bevorzugen VS Code Tasks und Vercel-Domains zur Malware-Bereitstellung.
Das primäre Ziel solcher Angriffe ist klar: Developer-Systeme enthalten oft sensible Daten wie Quellcode, Secrets und Anmeldedaten – perfekt für tiefere Eindringungen ins Netzwerk.
Abstract Security dokumentierte kürzlich eine Taktik-Verschiebung: Die Angreifer nutzen nun vermehrt alternative Staging-Server in VS Code Tasks statt Vercel-URLs. GitHub Gists und URL-Shortener wie short.gy kommen zum Einsatz, um echte Ziele zu verschleiern. Zudem wurde ein bösartiges npm-Paket namens “eslint-validator” identifiziert, das eine obfuskierte Payload von einer Google Drive-URL lädt – ein bekannter JavaScript-Malware namens BeaverTail.
Ein besonders raffiniertes Verfahren nutzt eine Windows-spezifische Infektionskette: Ein bösartiges VS Code Task aus einem GitHub-Repository führt ein Batch-Skript aus, das Node.js herunterlädt und über das certutil-Programm einen verschlüsselten Code-Block dekodiert. Das resultierende Python-Malware ist mit PyArmor geschützt.
Red Asgard, ein Sicherheitsunternehmen das die Kampagne intensiv untersucht, entdeckte noch raffiniertere Methoden: Die Angreifer nutzen VS Code Projekte mit einem “folderOpen”-Trigger, um Malware zu installieren, die die Polygon-Blockchain abfragt und JavaScript aus einem NFT-Smart-Contract abruft – eine neue Ebene der Resilienz. Die finale Payload ist ein Information Stealer, der Anmeldedaten aus Browsern, Krypto-Wallets und Password Managern ausliest.
GitLab meldete, dass 131 Konten im Jahr 2025 gesperrt wurden, die an der Verbreitung bösartiger Projekte beteiligt waren. Die Angreifer arbeiten typischerweise über Consumer-VPNs, nutzen aber auch VPS-Infrastruktur und “Laptop Farms”. Bemerkenswert: In fast 90% der Fälle wurden Gmail-Adressen für die Kontoerstellung verwendet.
Zum Hosten der Malware-Payloads nutzten die Threat Actor mindestens sechs legitime Services wie JSON Keeper, Mocki, Render, Railway.app und Vercel. Vercel war mit mindestens 49 Einsätzen 2025 die bevorzugte Plattform.
Ein Fund von GitLab ist besonders aufschlussreich: Ein privates Projekt, das mit hoher Sicherheit von einem nordkoreanischen Staatsangehörigen kontrolliert wird, enthielt detaillierte finanzielle und personelle Aufzeichnungen. Die Einnahmen beliefen sich auf über 1,64 Millionen US-Dollar zwischen Q1 2022 und Q3 2025, dokumentiert in über 120 Tabellenkalkulationen und Präsentationen. Dies zeigt strukturierte, hierarchisch organisierte Operationen mit globalen Netzwerken.
Okta berichtete, dass die “übergroße Mehrheit” von Bewerbungsgesprächen mit IT-Workern nicht zu zweiten Interviews führt. Allerdings sagen die Angreifer “von ihren Fehlern”, worauf eine wachsende Zahl auf befristete Verträge als Softwareentwickler bei Drittunternehmen abzielt – Arbeitgeber, die selten strenge Hintergrundchecks durchführen. Die erfolgreichsten Akteure haben gelernt, überzeugende Personas zu schaffen und hunderte Interviews zu terminieren.
Zum Schutz empfiehlt Microsoft, die Trust Boundaries in Developer-Workflows zu stärken, starke Authentifizierung durchzusetzen, strenge Credential-Hygiene zu bewahren und das Prinzip der geringsten Berechtigung auf Developer-Konten anzuwenden.
Quelle: The Hacker News