HackerangriffeSchwachstellenCyberkriminalität

Polyfill-Anschlag: Nordkorea hinter Mega-Supply-Chain-Attack mit 100.000 betroffenen Websites

Polyfill-Anschlag: Nordkorea hinter Mega-Supply-Chain-Attack mit 100.000 betroffenen Websites
Zusammenfassung

# Polyfill-Lieferketten-Anschlag: Nordkorea hinter massivem Supply-Chain-Angriff Der Polyfill-Anschlag von 2024, der über 100.000 Websites betroffen hat, offenbart sich nun als koordinierte Operation zwischen nordkoreanischen und chinesischen Akteuren. Was zunächst als reine chinesische Cyber-Operationen galt, entpuppt sich durch Untersuchungen des Sicherheitsunternehmens Hudson Rock als Geldwäsche-Schema für nordkoreanische Einnahmen. Im Februar 2024 infiltrierten Angreifer die beliebte Polyfill.io-Bibliothek, eine von über 100.000 Websites verwendete JavaScript-Komponente für Browser-Kompatibilität, mit bösartigem Code. Nutzer wurden zu Glücksspiel- und pornografischen Websites umgeleitet. Die jüngsten Ermittlungen zeigen, dass der chinesische CDN-Betreiber Funnull lediglich eine Fassade für ein nordkoreanisch-chinesisches Komplott war – mit dem Ziel, Kryptowährungen in Millionen-Höhe zur nordkoreanischen Staatskasse zu lenken. Für deutsche Nutzer, Unternehmen und Behörden ist dies alarmierend: Die Untersuchung verdeutlicht, wie raffiniert Cyberkriminelle reguläre Webkomponenten missbrauchen, um Millionen Systeme zu gefährden. Deutsche Organisationen müssen ihre Abhängigkeiten von externen JavaScript-Bibliotheken überprüfen und Supply-Chain-Sicherheit neu bewerten.

Der Polyfill-Skandal von 2024 offenbart eine tiefere und gefährlichere Verschwörung als bislang bekannt. Im Februar vergangenen Jahres wurde das weit verbreitete Polyfill.io-Service, das Tausende Websites für JavaScript-Kompatibilität nutzen, von dem chinesischen CDN-Unternehmen Funnull übernommen. In der Folge begannen die Betreiber, bösartigen JavaScript-Code in die von cdn.polyfill.io bereitgestellten Skripte einzuschleusen.

Die infizierte Software zielten primär auf Mobilnutzer ab und leiteten diese mittels Umgehungstechniken auf Glücksspiel- und Erwachsenenseiten weiter. Im Juni 2024 bestätigten Sicherheitsunternehmen wie Sansec und C/side das Ausmaß der Kompromittierung. Über 100.000 Websites waren betroffen – ein außergewöhnlich großer Supply-Chain-Anschlag, der Cloudflare und Google zum Handeln zwang.

Doch die Geschichte endet nicht mit einem chinesischen Unternehmen. Die auf Infostealer-Malware spezialisierte Sicherheitsfirma Hudson Rock hat nun Beweise veröffentlicht, die eine nordkoreanische Beteiligung belegen. Das Unternehmen überwacht Daten von Computern, die mit Infostealer-Malware infiziert sind – darunter ein Gerät nordkoreanischer Hacker. Diese waren auf eine gefälschte Software-Installateure hereingefallen, die die LummaC2-Malware verteilte.

Die gesammelten Daten zeigen eine lückenlose Beweiskette: Die Hacker hatten Anmeldedaten für das Funnull-DNS-Management-Portal sowie für den Polyfill-Cloudflare-Tenant. Sie verfügten also über vollständige Kontrolle über die manipulierte Domain. Zusätzlich fanden sich Unterhaltungen über die Konfigurationsänderungen bei der Polyfill-Attacke.

Hudson Rock vermutet, dass das eigentliche Ziel darin bestand, Nutzer zu Glücksspielseiten der chinesischen Suncity Group umzuleiten. Dieses Glücksspiel-Ökosystem soll nach Ansicht der Sicherheitsfirma als Geldwäsche-Kanal für massive Kryptowährungs-Mengen dienen – mit dem Endziel, Gelder in den nordkoreanischen Staat zu transferieren.

Nordkoreanische Hacker sollen 2025 bereits über zwei Milliarden Dollar in Kryptowährungen gestohlen haben. Die Infostealer-Malware enthüllte zudem weitere nordkoreanische Operationen, etwa einen Hackeragenten, der sich bei der Kryptobörse Gate einschleusen konnte und Informationen zu deren Anti-Geldwäsche-Verfahren sammelte.

Der Fall verdeutlicht deutsche Unternehmen die erheblichen Risiken von Drittanbieter-Bibliotheken und die Notwendigkeit strenger Supply-Chain-Security-Maßnahmen.

Ähnliche Artikel