Lazarus Group lockt Entwickler mit gefälschten Job-Angeboten

Nordkoreas Hackerkollektiv Lazarus hat eine neue, hochgefährliche Cyber-Spionagekampagne gestartet. Unter dem Deckmantel seriöser Jobangebote infizieren die staatlich unterstützten Hacker gezielt Software-Entwickler mit Schadsoftware. Das Ziel: Diebstahl von Kryptowährungen und Zugang zu sensiblen Unternehmensnetzwerken.

Die als „graphalgo“ identifizierte Operation nutzt gefälschte Recruiting-Prozesse, um Malware über vertrauenswürdige Open-Source-Plattformen wie npm und PyPI zu verbreiten. Sicherheitsforscher entdeckten diesen neuen Ast der seit Jahren laufenden „Operation Dream Job“ erst in der vergangenen Woche. Die Kampagne zielt gezielt auf Entwickler in der Blockchain- und Kryptobranche ab und gilt als gefährliche Weiterentwicklung der Lazarus-Methoden.

Das perfide Anwerbespiel

Die Attacke beginnt nicht mit Code, sondern mit einem Chat. Die Angreifer geben sich in professionellen Netzwerken wie LinkedIn, aber auch auf Facebook und Reddit, als Personalvermittler aus. Als Tarnung dient das erfundene Unternehmen „Veltrix Capital“, das angeblich im Krypto-Handel aktiv ist.

Interessierte Entwickler werden durch einen gefälschten Bewerbungsprozess gelotst. Höhepunkt ist eine angebliche Eignungsprüfung: Die Kandidaten erhalten Links zu Projekten auf GitHub, die legitime Coding-Aufgaben enthalten sollen. Der Haken: Zur Lösung müssen sie kompromittierte Software-Pakete als Abhängigkeiten installieren – und laden sich so unbemerkt die Schadsoftware herunter.

Gift im System: npm und PyPI als Einfallstor

Die technische Raffinesse der Kampagne liegt im Missbrauch der etablierten Paket-Register npm (für JavaScript) und PyPI (für Python). Statt verdächtige Dateien zu versenden, lenken die Hacker ihre Opfer zu Paketen auf diesen legitimen Plattformen. Ein Beispiel ist das npm-Paket „bigmathutils“.

Hier zeigte Lazarus bemerkenswerte Geduld: Zuerst veröffentlichte die Gruppe eine saubere, harmlose Version. Diese sammelte über 10.000 Downloads und etablierte einen Vertrauensvorschuss. Erst dann spielten die Angreifer eine bösartige Version nach. Diese Methode erschwert die Entdeckung erheblich und ist typisch für gut ausgestattete, staatliche Akteure.

Die Beute: Daten und digitale Währungen

Endziel des aufwändigen Anwerbespiels ist die Installation eines Remote Access Trojaners (RAT). Diese Schadsoftware öffnet den Hackern eine Hintertür zum kompromittierten System. Der Trojaner kann Dateien stehlen, Befehle ausführen und die Systemaktivität überwachen.

Der Fokus auf finanziellen Gewinn ist eindeutig: Die Malware sucht gezielt nach der MetaMask-Browsererweiterung, einer populären Krypto-Wallet. Dies unterstreicht das alte Ziel der Lazarus Group, Einnahmen für das nordkoreanische Regime zu generieren. Die modulare Architektur der Schadsoftware ermöglicht es den Angreifern zudem, ihre Operationen auch dann aufrechtzuerhalten, wenn Teile ihrer Infrastruktur entdeckt und abgeschaltet werden.

Wenn Angreifer Entwickler über gefälschte Recruiting‑Prozesse kompromittieren, braucht es konkrete Schutzmaßnahmen – nicht nur Warnungen. Ein kostenloses E‑Book fasst aktuelle Cyber‑Security‑Trends zusammen und zeigt, welche technischen Kontrollen, Monitoring‑Maßnahmen und Awareness‑Praktiken Unternehmen jetzt umsetzen sollten, um Lieferketten‑Angriffe wie „graphalgo“ zu erschweren. Kostenloses E‑Book „Cyber Security Awareness Trends“ herunterladen

Ein Warnschuss an die Tech-Branche

„Graphalgo“ ist die jüngste Eskalation in einer langen Serie ähnlicher Kampagnen. Doch diesmal dringt die Gruppe tiefer in die Software-Lieferkette ein. Indem sie Entwickler ins Visier nimmt, zielt Lazarus nicht nur auf Einzelpersonen, sondern auf den Zugang zu firmeninternen Daten, proprietärem Code und gesamten Unternehmensnetzwerken.

Die Botschaft an die Tech-Industrie ist klar: Das inhärente Vertrauen in Open-Source-Ökosysteme wird aktiv von staatlichen Akteuren ausgenutzt. Cybersicherheitsexperten raten Entwicklern zu äußerster Vorsicht bei unaufgeforderten Jobangeboten und zur rigorosen Überprüfung aller Software-Abhängigkeiten – selbst aus scheinbar seriösen Quellen. Für Unternehmen unterstreicht die Bedrohung die Notwendigkeit strenger Zugangskontrollen und einer kontinuierlichen Überwachung von Entwicklerumgebungen. Die Beharrlichkeit der Lazarus Group lässt erwarten, dass solche Angriffe auf die Lieferkette noch lange eine prominente Gefahr bleiben werden.