Lazarus-Gruppe, Millionen

Lazarus-Gruppe: 643 Millionen Dollar Krypto-Raub in sechs Monaten

05.07.2026 - 03:36:09 | boerse-global.de

Nordkoreanische Hacker setzen auf manipulierte Build-Tools und dateilose Schadsoftware, um Krypto-Wallets und Zugangsdaten zu stehlen.

Lazarus-Gruppe: Neue Angriffswelle auf Entwickler und Krypto
Lazarus-Gruppe - Abstrakte Darstellung einer digitalen Bedrohung mit leuchtenden Codezeilen, die sich durch ein dunkles Serverraum-Netzwerk bewegen, symbolisiert schwer erkennbare Malware. 05.07.2026 - Bild: über boerse-global.de

Sie zielt gezielt auf Software-Entwickler und Krypto-Plattformen ab. Mit manipulierten Programmierwerkzeugen und dateiloser Schadsoftware umgehen sie selbst moderne Sicherheitsmechanismen.

Tarnung als vertraute Build-Tools

Ende Juni entdeckte der Sicherheitsdienstleister JFrog sechs bösartige Pakete in der npm-Registry. Die Pakete mit Namen wie rollup-packages-polyfill-core und rollup-runtime-polyfill-core tarnten sich als legitime Erweiterungen für das weit verbreitete Build-Tool Rollup – eine Bibliothek, die wöchentlich hunderttausendfach heruntergeladen wird.

Der Schadcode wird bereits beim Import des Pakets aktiviert. Das umgeht die Sicherheitsvorkehrungen von npm Version 12, die Installationsskripte blockieren sollen. In einer mehrstufigen Infektionskette laden die manipulierten Pakete weitere Komponenten nach. Am Ende landet ein Trojaner auf dem System – ein Remote Access Trojaner (RAT).

Das Ziel: Browser-Zugangsdaten, Krypto-Wallets, SSH-Schlüssel und Anmeldedaten für Cloud-Dienste wie AWS und Azure stehlen. Auch Zwischenablagedaten und Konfigurationen von Entwicklungsumgebungen wie VS Code, Windsurf oder Cursor werden ausgespäht.

Dateiloser Schatten im Arbeitsspeicher

Parallel zu den Supply-Chain-Angriffen setzt Lazarus auf eine neue Methode. Laut Berichten von Fox-IT nutzt die Gruppe vermehrt die Schadsoftware „RemotePE“. Dabei handelt es sich um einen dateilosen RAT, der ausschließlich im Arbeitsspeicher operiert – und kaum forensische Spuren hinterlässt. Die Analysten entdeckten das Werkzeug bei einer Untersuchung einer Organisation im Bereich der dezentralen Finanzen (DeFi).

Der Erstzugriff läuft häufig über Social Engineering auf Plattformen wie Telegram. Die Angreifer geben sich als potenzielle Geschäftspartner aus. Sie nutzen gefälschte Domains von Terminbuchungsdiensten wie Calendly oder Picktime, um Opfer zur Installation bösartiger Software zu verleiten. Die Infektionskette ist modular aufgebaut und zielt darauf ab, EDR-Systeme (Endpoint Detection and Response) zu umgehen.

108 bösartige Pakete in einer Kampagne

Die sogenannte „PolinRider“-Kampagne zeigt das Ausmaß der Bedrohung. Insgesamt 108 bösartige Pakete wurden über Plattformen wie npm, Packagist und Go-Module verteilt. Die Kampagne steht in Verbindung mit gefälschten Vorstellungsgesprächen. Entwickler werden dazu gebracht, präparierte Repositories herunterzuladen.

Anzeige

Wer die Supply-Chain-Angriffe der Lazarus-Gruppe auf Entwickler verhindern will, findet in diesem kostenlosen Report die wichtigsten Schutzmaßnahmen – von der Erkennung manipulierter Build-Tools bis zur Abwehr dateiloser RATs. Jetzt kostenlosen Sicherheits-Report anfordern

Die Angreifer nutzen dabei spezifische Funktionen von VS Code aus, die Code automatisch beim Öffnen eines Ordners ausführen. Die Folge: Fast 2.000 GitHub-Verzeichnisse wurden kompromittiert. Als Payloads dienen Stealer-Programme wie BeaverTail und OmniStealer, die sensible Daten abziehen.

643 Millionen Dollar Schaden in sechs Monaten

Die Aktivitäten nordkoreanischer Hacker haben in der ersten Jahreshälfte 2026 massive finanzielle Schäden verursacht. Schätzungen zufolge wurden Kryptowerte im Wert von rund 643 Millionen US-Dollar entwendet. Das entspricht etwa zwei Dritteln aller weltweit durch Cyberangriffe gestohlenen Kryptowährungen.

Zu den größten Vorfällen zählen Angriffe auf Drift Anfang April mit einem Schaden von 285 Millionen US-Dollar sowie auf KelpDAO Ende April mit 292 Millionen US-Dollar. Bereits Anfang März traf es den Dienstleister Bitrefill. Über den kompromittierten Laptop eines Mitarbeiters verschafften sich die Angreifer Zugriff auf Datenbanken und Hot Wallets. Dabei wurden Datensätze von rund 18.500 Einkäufen sowie etwa 1.000 Kundennamen exponiert.

Experten weisen darauf hin, dass die Erlöse aus diesen Cyberaktivitäten einen erheblichen Teil der staatlichen Programme Nordkoreas finanzieren.

Neue Bedrohungen jenseits von Lazarus

Während Lazarus primär Finanzziele verfolgt, beobachten Sicherheitsforscher auch andere Gruppen mit spezialisierten Methoden. Die Gruppe Armored Likho – auch bekannt als Eagle Werewolf – richtet ihre Angriffe derzeit verstärkt gegen Regierungsbehörden und den Energiesektor in Ländern wie Russland, Brasilien und Kasachstan.

Anzeige

Entwickler, die bereits gefälschte Jobangebote auf Telegram beobachten, brauchen jetzt einen klaren Fahrplan gegen Social Engineering – bevor die nächste Infektionswelle Ihre Build-Pipeline trifft. Dieser Leitfaden liefert konkrete Warnsignale und Sicherheits-Checklisten. Social-Engineering-Fahrplan jetzt sichern

Dabei kommt die Schadsoftware BusySnake zum Einsatz, die unter anderem durch KI-generierte Loader unterstützt wird. Alle fünf Minuten löst sie Persistenzmechanismen auf den betroffenen Systemen aus.

Zudem wurde mit „JadePuffer“ erstmals ein Fall dokumentiert, bei dem ein KI-Agent auf Basis eines Large Language Models einen Ransomware-Angriff weitgehend automatisiert durchgeführt hat – inklusive Erkundung, Datendiebstahl und Verschlüsselung.

de | wissenschaft | 69692139 |