Cyberspionage REF9403: Nordkorea stiehlt Krypto-Vermögen von Entwicklern
Veröffentlicht: 19.07.2026 um 00:41 Uhr, Redaktion boerse-global.de
Unter dem Namen REF9403 stehlen nordkoreanische Hacker Zugangsdaten und Krypto-Vermögenswerte von Softwareentwicklern.
Steganografie in Flaggenbildern umgeht Sicherheitsscanner
Die Angreifer verstecken bösartigen Code in den Kommentarblöcken von SVG-Dateien. Die Bilder sind optisch als Nationalflaggen getarnt. Zum Zeitpunkt der Entdeckung erzielte die Methode eine Erkennungsrate von Null bei gängigen Antiviren-Programmen.
Die Kampagne läuft unter dem Namen „Contagious Interview". Die Hacker kontaktieren potenzielle Opfer über Plattformen wie Slack und laden sie zu gefälschten technischen Prüfungen ein. In einem dokumentierten Fall vom 26. Mai 2026 wurde der Angriff über den Slack-Kanal eines Sicherheitsunternehmens gestartet.
Die Betroffenen erhalten präparierte Archive wie die Datei next-ecommerce-private-main.zip. Diese enthalten die schädlichen Bilddateien und Skripte.
OTTERCOOKIE-Malware mit umfangreichen Diebstahl-Funktionen
Führt ein Entwickler die Coding-Challenges in seiner Arbeitsumgebung aus, aktiviert sich die vierstufige Malware-Payload OTTERCOOKIE. Die Schadsoftware exfiltriert systematisch sensible Daten:
- Browser-Zugangsdaten und Cookies
- Krypto-Wallets und MetaMask-Credentials
- Konfigurationsdateien von KI-Tools wie Claude, Cursor und Gemini
- Zwischenablage-Inhalte (Clipboard-Stealer)
- Remote Access Trojaner (RAT) mit Socket.IO-Kommunikation
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen durch täuschend echte Phishing-Methoden. Experten erklären in diesem kostenlosen E-Book, wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen wirksam absichern. Kostenlosen Cyber-Security-Ratgeber jetzt anfordern
Die gestohlenen Daten landen auf einer Infrastruktur mit der Domain ldb.rightwidth[.]dev. Sicherheitsexperten identifizierten zudem IP-Adressen in Deutschland und anderen Regionen, die mit der Kampagne verbunden sind.
Nordkoreanische Aktivitäten im Krypto-Sektor nehmen zu
Die aktuelle Entdeckung reiht sich in eine Serie von Vorfällen ein. Im Frühjahr 2026 war ein nordkoreanischer Entwickler unter dem Pseudonym Tyler Knapp etwa einen Monat als Berater bei Consensys tätig. Er hatte Zugriff auf den Kerncode der MetaMask-Wallet, bevor ihm der Zugang im April 2026 entzogen wurde.
Gruppen wie Kimsuky oder UNC1069 entwickeln ihre Methoden stetig weiter. Kimsuky nutzt vermehrt Spear-Phishing über OneDrive-Links für Aufklärungszwecke. Andere Gruppen setzen auf Deepfakes und kompromittierte Telegram-Konten.
Ob CEO-Fraud oder manipulierte Bewerbungsunterlagen – die psychologischen Taktiken der Hacker werden immer raffinierter. Dieser neue Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Sie Angriffe rechtzeitig entlarven. Anti-Phishing-Paket kostenlos herunterladen
Aktuelle Berichte bringen nordkoreanische Akteure mit einem Hack des Humanity Protocols in Verbindung. Mitte Juli 2026 entstand dabei ein Schaden von rund 36 Millionen US-Dollar.
Sicherheitsexperten raten Unternehmen und freien Entwicklern: Code aus Bewerbungsverfahren gehört ausschließlich in isolierte Umgebungen. Die Malware ist gezielt darauf ausgelegt, lokale Konfigurationsdateien und Browser-Sitzungen zu kompromittieren. Die Ausführung auf produktiven Systemen ist ein erhebliches Risiko.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
