Nordkoreanische Hacker locken Entwickler mit Fake-Job-Interviews
Dr. Martin J. Krämer, CISO-Advisor bei KnowBe4
Das nordkoreanische Hacker gerne einmal versuchen sich selbst als Entwickler anheuern zu lassen, um Unternehmen auszuspionieren ist inzwischen nichts neues mehr. Was aber neu ist, ist, dass sie versuchen Entwickler als Trittbrett auszunutzen.
Nach Angaben von Forschern von Recorded Future nehmen sie ebenfalls gezielt Softwareentwickler mit Social Engineering-Taktiken ins Visier. Eine als „PurpleBravo“ bezeichnete Gruppe setzt dabei auf jobbezogene Phishing-Kampagnen und ClickFix-Angriffe, um Entwickler in den Bereichen KI, Kryptowährungen, Finanzdienstleistungen, IT-Services, Marketing und Softwareentwicklung in Zielregionen wie Europa, Südasien, dem Nahen Osten und Zentralamerika zu kompromittieren.
Die Forscher warnen, dass PurpleBravo ein bislang unterschätztes Risiko für die IT-Software-Lieferkette darstellt, da viele der anvisierten Personen in IT-Services und Staff-Augmentation arbeiten. Sie betreuen dort häufig große öffentliche Datenbanken, dies könnte zu Kompromittierungen bei den Auftraggebern führen. Besonders akut ist das Risiko für Organisationen, die Entwicklung auslagern - insbesondere in den Regionen, in denen PurpleBravo seine fiktiven Rekrutierungsbemühungen konzentriert.
Recruiter-Rollen, LinkedIn und GitHub-Repos
Laut Bericht nutzen die Täter gefälschte LinkedIn-Profile, um sich als Recruiter auszugeben. Im Rahmen fingierter Coding-Interviews versuchen sie, Jobsuchende dazu zu verleiten, auf bösartige GitHub-Repositories zuzugreifen. In mehreren Fällen ist es möglich, dass Entwickler schädlichen Code auf Unternehmensgeräten ausgeführt haben, wodurch über das individuelle Opfer hinaus eine organisatorische Exponierung entsteht. Das Toolset der Gruppe umfasst BeaverTail (ein JavaScript-Infostealer und -Loader) sowie plattformübergreifende Remote-Access-Trojaner (RATs), insbesondere PyLangGhost und GolangGhost, die für den Diebstahl von Browser-Anmeldedaten und Informationen zu Kryptowährungs-Wallets optimiert sind.
Kryptowährungsdiebstahl ist möglicherweise der primäre Fokus der Gruppe, viele kompromittierte Organisationen sind aber in anderen Bereichen tätig sind, insbesondere in der Softwareentwicklung und im IT-Service-Bereich. Daraus ergibt sich ein akutes Supply Chain-Risiko für Unternehmen, die auf einzelne Contractor setzen oder IT-Services auslagern. Während die Bedrohung durch nordkoreanische IT-Mitarbeiter-Beschäftigungsmodelle bereits breit diskutiert wird, sollte auch das PurpleBravo-Lieferkettenrisiko die gleiche Aufmerksamkeit erhalten. Unternehmen müssen sich auf die Bedrohung vorbereiten, ihre externen Entwickler warnen und den Abfluss sensibler Daten verhindern.
Schutzfaktor Mensch
Die Angreifer setzen stark auf Social Engineering, was die Sensibilisierung von Mitarbeitenden zu einem zentralen Hebel für die Informationssicherheit macht. Die Kampagne zeigt, wie Angreifer mit glaubwürdigen Rollenbildern arbeiten, etwa durch gefälschte LinkedIn-Profile, die Recruiter imitieren, und wie leicht sich technische Risiken in scheinbar normale Prozesse wie Bewerbungsgesprächen und Coding-Interviews einbetten lassen. Gerade weil solche Köder an reale Arbeitsabläufe anknüpfen und nicht wie „klassisches“ Phishing wirken, ist es entscheidend, dass Mitarbeitende verdächtige Signale früh erkennen und bei ungewöhnlichen Aufforderungen melden.
Nordkoreanische Hacker locken Entwickler mit Fake-Job-Interviews
Dr. Martin J. Krämer, CISO-Advisor bei KnowBe4
Das nordkoreanische Hacker gerne einmal versuchen sich selbst als Entwickler anheuern zu lassen, um Unternehmen auszuspionieren ist inzwischen nichts neues mehr. Was aber neu ist, ist, dass sie versuchen Entwickler als Trittbrett auszunutzen.
Nach Angaben von Forschern von Recorded Future nehmen sie ebenfalls gezielt Softwareentwickler mit Social Engineering-Taktiken ins Visier. Eine als „PurpleBravo“ bezeichnete Gruppe setzt dabei auf jobbezogene Phishing-Kampagnen und ClickFix-Angriffe, um Entwickler in den Bereichen KI, Kryptowährungen, Finanzdienstleistungen, IT-Services, Marketing und Softwareentwicklung in Zielregionen wie Europa, Südasien, dem Nahen Osten und Zentralamerika zu kompromittieren.
Die Forscher warnen, dass PurpleBravo ein bislang unterschätztes Risiko für die IT-Software-Lieferkette darstellt, da viele der anvisierten Personen in IT-Services und Staff-Augmentation arbeiten. Sie betreuen dort häufig große öffentliche Datenbanken, dies könnte zu Kompromittierungen bei den Auftraggebern führen. Besonders akut ist das Risiko für Organisationen, die Entwicklung auslagern - insbesondere in den Regionen, in denen PurpleBravo seine fiktiven Rekrutierungsbemühungen konzentriert.
Recruiter-Rollen, LinkedIn und GitHub-Repos
Laut Bericht nutzen die Täter gefälschte LinkedIn-Profile, um sich als Recruiter auszugeben. Im Rahmen fingierter Coding-Interviews versuchen sie, Jobsuchende dazu zu verleiten, auf bösartige GitHub-Repositories zuzugreifen. In mehreren Fällen ist es möglich, dass Entwickler schädlichen Code auf Unternehmensgeräten ausgeführt haben, wodurch über das individuelle Opfer hinaus eine organisatorische Exponierung entsteht. Das Toolset der Gruppe umfasst BeaverTail (ein JavaScript-Infostealer und -Loader) sowie plattformübergreifende Remote-Access-Trojaner (RATs), insbesondere PyLangGhost und GolangGhost, die für den Diebstahl von Browser-Anmeldedaten und Informationen zu Kryptowährungs-Wallets optimiert sind.
Kryptowährungsdiebstahl ist möglicherweise der primäre Fokus der Gruppe, viele kompromittierte Organisationen sind aber in anderen Bereichen tätig sind, insbesondere in der Softwareentwicklung und im IT-Service-Bereich. Daraus ergibt sich ein akutes Supply Chain-Risiko für Unternehmen, die auf einzelne Contractor setzen oder IT-Services auslagern. Während die Bedrohung durch nordkoreanische IT-Mitarbeiter-Beschäftigungsmodelle bereits breit diskutiert wird, sollte auch das PurpleBravo-Lieferkettenrisiko die gleiche Aufmerksamkeit erhalten. Unternehmen müssen sich auf die Bedrohung vorbereiten, ihre externen Entwickler warnen und den Abfluss sensibler Daten verhindern.
Schutzfaktor Mensch
Die Angreifer setzen stark auf Social Engineering, was die Sensibilisierung von Mitarbeitenden zu einem zentralen Hebel für die Informationssicherheit macht. Die Kampagne zeigt, wie Angreifer mit glaubwürdigen Rollenbildern arbeiten, etwa durch gefälschte LinkedIn-Profile, die Recruiter imitieren, und wie leicht sich technische Risiken in scheinbar normale Prozesse wie Bewerbungsgesprächen und Coding-Interviews einbetten lassen. Gerade weil solche Köder an reale Arbeitsabläufe anknüpfen und nicht wie „klassisches“ Phishing wirken, ist es entscheidend, dass Mitarbeitende verdächtige Signale früh erkennen und bei ungewöhnlichen Aufforderungen melden.