Nordkorea, das bei seinen Angriffen nie an Innovationskraft mangelt, hat eine Kampagne gestartet, die sich gegen Krypto-Entwickler richtet. Wie funktioniert sie und wie kann man sich davor schützen?
Nordkorea hat es auf Krypto-Entwickler abgesehen
Hacks auf Kryptowährungen sind leider eine gängige Strategie Nordkoreas. Der Staat setzt Hackerteams ein, um Kryptowährungen zu stehlen, insbesondere um sein Atomwaffenprogramm zu finanzieren.
In diesem Herbst schlagen die Forscher des Cybersicherheitsunternehmens Socket Alarm: Hacker nehmen derzeit Krypto-Entwickler ins Visier. Ihnen zufolge soll Nordkorea eine der weltweit meistgenutzten Software-Bibliotheken ins Visier genommen haben: das npm-Register.
Laut Socket wurden mehr als 300 Pakete mit bösartigem Code in der Registry entdeckt, die zur Installation und Weitergabe von JavaScript-Software verwendet wird.
Nach der Installation führen diese Pakete unbemerkt eine Malware aus, mit der Passwörter, Browserdaten sowie Schlüssel für Kryptowährungs-Wallets gestohlen werden können. Dem Bericht zufolge wurden diese bösartigen Pakete 5000 Mal heruntergeladen, bevor einige davon entfernt wurden.
Vorsicht bei Namensänderungen
Um den Verdacht zu zerstreuen, verwenden Hacker bekannte Namen und ändern dabei ein oder zwei Buchstaben:
Im Bereich der Krypto-Rekrutierung sind auch Web3-Kits ein beliebtes Ziel.
Hier einige Beispiele für typografische Varianten:
- ethers.js wird durch typografische Varianten wie ethrs.js und ethres.js imitiert;
- web3.js wird zu we3.js oder wb3.js;
- systematische Rechtschreibfehler bei truffle (truffel), ganache (ganacche) und foundry (foudry) sowie Pakete mit dem Thema Hardhat wie hardhat-deploy-notifier und hardhat-deploy-notification.
- Ebenfalls Nachahmungen von Markennamen, zum Beispiel metamask-api.
Gefälschte LinkedIn-Konten und Betrugsnetzwerke
Es muss auch betont werden, dass die Kriminellen verschiedene Techniken kombinieren. Manchmal verwenden sie gefälschte LinkedIn-Konten von Personalvermittlern, eine Methode, über die wir bereits berichtet haben.
Wir haben festgestellt, dass die Kriminellen E-Mail-Adressen registrieren, die denen von Personalvermittlern, Personalverantwortlichen oder „Tech”-Profilen ähneln, um Entwickler und Arbeitssuchende besser täuschen zu können.
Nordkorea hat das Hacken von Kryptowährungen mit hochentwickelten Netzwerken tatsächlich auf ein industrielles Niveau gebracht.
Zu den Zielen gehören Entwickler von Web3, Kryptowährungen und Blockchain sowie Bewerber für technische Positionen, die von falschen Personalvermittlern angesprochen werden, was zu mehrstufigen Kompromittierungen und finanziellen Verlusten führt.
GitHub, der Eigentümer des npm-Registers, hat bestätigt, dass es kompromittierte Pakete löscht, sobald sie auftauchen, aber es gibt zu viele davon und sie werden zu regelmäßig erstellt, als dass es sie alle aufspüren könnte.
Entwickler sollten daher größte Vorsicht walten lassen: Abhängigkeiten müssen vor ihrer Integration gescannt werden, und der Einsatz automatisierter Überprüfungswerkzeuge muss leider zur Norm werden.
