Cyberattacken auch auf Software-Entwickler und Programmierer

Mit „Krypto-Währungen“ vertraute Experten geraten ins Visier Cyber-Krimineller

[datensicherheit.de, 22.02.2025] Nach aktuellen Erkenntnissen von ESET können selbst Programmierer bzw. Software-Entwickler mitunter ein beliebtes Ziel für Cyber-Kriminelle darstellen: Demnach haben ESET-Forscher nun herausgefunden, dass Hacker gezielt mit „Krypto-Währungen“ vertraute Experten ins Visier nehmen – insbesondere „Freelancer“ und nach einem Job Suchende seien interessant.

Abbildung: ESET

ESET-Forscher: Entwickler in diesen Ländern sind von „DeceptiveDevelopment“-Attacken betroffen

Cyber-Angriffsmuster erinnern an bekannte Akteure – bisher indes keine klare Zuordnung zu einer bestimmten Gruppe

ESET-Forscher haben eine neue Cyber-Bedrohung identifiziert: „In der Kampagne ,DeceptiveDevelopment’ locken Cyber-Kriminelle freiberufliche Software-Entwickler aus der ,Krypto-Währungs’-Szene mit gefälschten Jobangeboten in die Falle.“ Ziel sei es, darüber „Krypto-Währungen“ und Zugangsdaten zu stehlen.

Die Angriffe richteten sich gegen „Windows“-, „Linux“- und „macOS“-Benutzer in allen Regionen der Welt und nutzten Plattformen wie „LinkedIn“, „Upwork“, „Moonlight“, „Freelancer.com“ etc.

„Hinter den Attacken stehen höchstwahrscheinlich Hacker mit Verbindungen nach Nordkorea. Obwohl die Angriffsmuster denen bekannter Akteure ähneln, konnten die Aktionen keiner bestimmten Gruppe zugeordnet werden.“

Gefälschte Bewerbungsgespräche als Einfallstor für Cyber-Kriminelle

Die Täter hinter „DeceptiveDevelopment“ gäben sich als „Recruiter“ auf bekannten Jobportalen, Sozialen Netzwerken und „Krypto“- bzw. „Blockchain“-Sites aus und veröffentlichten gefälschte Jobanzeigen. „Dazu kopieren sie bestehende Accounts oder richten komplett neue ein.“

Darüber schrieben sie dann gezielt Software-Entwickler an. Besonders perfide sei dabei: „Die Hacker erstellen nicht nur eigene Fake-Profile, sondern greifen auch auf Accounts realer Personen zurück, um Jobsuchende in die Falle zu locken.“ Nach erfolgreicher Kontaktaufnahme forderten die Angreifer ihre Opfer zu einem Codierungstest auf. Dies sei ein gebräuchliches Mittel, um die Erfahrung von Programmierern in einem Auswahlverfahren festzustellen. „Die dafür erforderlichen Projektdateien enthalten jedoch versteckte Schadsoftware. Sobald die ahnungslosen Kandidaten diese Dateien herunterladen und ausführen, wird ihr Computer kompromittiert.“

„Die Angreifer verwenden eine clevere Taktik: Sie verstecken den Schadcode als einzelne Zeile in einer harmlos erscheinenden Komponente des Projekts“, so ESET-Forscher Matěj Havránek nach Analyse dieser Bedrohung. „Auf diese Weise wird er aus dem Bildschirm verschoben und bleibt weitgehend verborgen.“

Cyber-Angriff in zwei Akten: Infostealer und Fernzugriff

Die Angreifer verwendeten zwei Malware-Familien: „BeaverTail“ (Infostealer, Downloader) und „InvisibleFerret“ (Spyware, Remote-Access-Trojaner). Ein typischer Angriff laufe in zwei Phasen ab: „Nach der Kompromittierung stiehlt ,BeaverTail’ Login-Daten aus Webbrowsern und lädt die zweite Schadsoftware, ,InvisibleFerret’, herunter. Hiermit stehlen die Hacker weitere Daten und installieren zusätzlich legitime Fernwartungssoftware wie ,AnyDesk’ für weitere Manipulationen.“ Hauptziel der Hacker seien „Krypto“-Wallets, aber auch andere Informationen, „die sie auf den Geräten ihrer Opfer finden“.

Die Angreifer operierten weltweit und machten keinen Unterschied zwischen geographischen Standorten. Mit gefälschten und kompromittierten Profilen auf Jobportalen könnten sie zahlreiche Entwickler erreichen. Auch auf „Krypto-Währungen“ ausgerichtete Plattformen sowie „Blockchain“-Projekte stünden im Visier.

„,DeceptiveDevelopment’ ist Teil einer größeren Strategie Nordkoreas, um über Cyber-Kriminalität an Geld zu kommen“, sagt Havránek und fasst zusammen: „Die Attacken zeigen einen Trend auf: ,Krypto-Währungen’ sind mittlerweile ein beliebteres Ziel für Hacker als klassische Währungen.“

Weitere Informationen zum Thema:

welivesecurity by eSET, SET Research, 20.02.2025
DeceptiveDevelopment nimmt Freelancer ins Visier / ESET Forscher entdecken Malware in Aufgaben für Bewerbungsgespräche