Nordkoreanische Hacker der Lazarus-Gruppe haben drei Scheinfirmen gegründet, um gezielt Krypto-Entwickler anzugreifen. Laut einem aktuellen Bericht von Silent Push nutzen die Akteure gefälschte Vorstellungsgespräche zur Verbreitung von Malware. Das FBI hat mittlerweile erste Maßnahmen ergriffen.
- Drei Scheinfirmen für gezielte Attacken auf Krypto-Entwickler eingesetzt
- KI-generierte Mitarbeiterprofile als Teil der Täuschung
- Malware zielt auf Krypto-Wallets und sensible Informationen ab
…and the “solution” is an easy “click fix” copy and paste trick, which leads to malware if the unsuspecting developer completes the process. pic.twitter.com/7USZJ0S6ep
— Zach Edwards (@thezedwards) April 24, 2025
Die nordkoreanische Hackergruppe Contagious Interview, eine Untergruppe der berüchtigten Lazarus-Organisation, hat ihre Angriffsmethoden auf die Kryptobranche verfeinert. Die Cyberkriminellen haben drei Scheinfirmen namens BlockNovas, Angeloper Agency und SoftGlide gegründet, um unter dem Deckmantel seriöser Krypto-Beratungsunternehmen Malware zu verbreiten.
Besonders brisant: Zwei dieser Unternehmen wurden sogar als legale Firmen in den USA registriert.
Raffinierte Täuschungsmethode bei Job-Interviews
Our team at Silent Push has been hard at work on the largest report we’ve ever made public – and along with Reuters – today we’re explaining how North Korean threat actors associated with the “Contagious Interview” subgroup created 3 front companies…🧵
— Zach Edwards (@thezedwards) April 24, 2025
Zach Edwards, leitender Bedrohungsanalyst bei Silent Push, erklärte am 24. April in einer Mitteilung auf X: „Diese Websites und ein riesiges Netzwerk von Konten auf Einstellungs- und Rekrutierungswebsites werden genutzt, um Menschen in Bewerbungsverfahren zu locken.“ Die Angreifer nutzen dabei Stellenangebote auf GitHub und Freelancer-Plattformen, um potenzielle Opfer zu identifizieren.
Die Masche ist dabei besonders tückisch: Während des Bewerbungsprozesses wird eine Fehlermeldung angezeigt, wenn Bewerber versuchen, ein Vorstellungsvideo aufzunehmen. Die angebotene „Lösung“ führt bei ahnungslosen Entwicklern direkt zur Installation von Malware. Insgesamt werden drei verschiedene Schadprogramme eingesetzt – BeaverTail, InvisibleFerret und Otter Cookie –, die hauptsächlich auf den Diebstahl von Krypto-Wallet-Schlüsseln und anderen sensiblen Daten abzielen.
They have now crossed the rubicon – they are willing to register a fake business and go through all the supposed KYC checks involved with that process, and were successful in the effort.
— Zach Edwards (@thezedwards) April 24, 2025
KI-generierte Fake-Mitarbeiter täuschen Bewerber
Besonders beunruhigend ist der Einsatz von KI-generierten Bildern, mit denen die Hacker gefälschte Mitarbeiterprofile für ihre Scheinfirmen erstellen. „Es gibt zahlreiche gefälschte Mitarbeiter und gestohlene Bilder von realen Personen, die in diesem Netzwerk verwendet werden“, warnt Edwards. In manchen Fällen haben die Angreifer sogar echte Fotos durch KI-Tools modifiziert, um subtil veränderte Versionen zu erzeugen.
Die Kampagne läuft seit Anfang 2024 und hat bereits erste Opfer gefordert. Silent Push identifizierte mindestens zwei Entwickler, die ins Visier genommen wurden, wobei in einem Fall eine MetaMask-Wallet kompromittiert wurde. Das FBI hat inzwischen reagiert und die Domain von BlockNovas übernommen, während SoftGlide und weitere Infrastruktur der Angreifer noch aktiv sind.
Die Lazarus-Gruppe steht im Verdacht, für einige der größten Cyber-Diebstähle im Web3-Bereich verantwortlich zu sein, darunter der 1,4-Milliarden-Dollar-Hack bei Bybit und der 600-Millionen-Dollar-Hack des Ronin-Netzwerks. Erst im März berichteten drei Krypto-Gründer, dass sie Versuche nordkoreanischer Hacker vereitelt hatten, über gefälschte Zoom-Anrufe an sensible Daten zu gelangen.
