Nordkoreanische Hacker zielen auf Krypto-Entwickler mit Python-Malware

MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung aus Nordkorea richtet sich gezielt gegen Entwickler in der Kryptowährungsbranche. Die Hackergruppe Slow Pisces, auch bekannt als Jade Sleet, hat eine raffinierte Methode entwickelt, um Malware zu verbreiten, indem sie sich als potenzielle Arbeitgeber auf LinkedIn ausgibt.

Die nordkoreanische Hackergruppe Slow Pisces, die bereits mit dem massiven Bybit-Hack in Verbindung gebracht wurde, hat eine neue Kampagne gestartet, die sich gegen Entwickler in der Kryptowährungsbranche richtet. Diese Gruppe, auch bekannt als Jade Sleet, nutzt LinkedIn, um sich als potenzielle Arbeitgeber auszugeben und Malware in Form von vermeintlichen Programmieraufgaben zu verbreiten.

Die Sicherheitsforscher von Palo Alto Networks Unit 42 haben diese Aktivitäten aufgedeckt und berichten, dass Slow Pisces gezielt Entwickler anspricht, um ihnen Malware unterzuschieben. Die Hacker senden den Entwicklern vermeintliche Programmieraufgaben, die sie dazu verleiten, ein kompromittiertes Projekt auszuführen, das Malware namens RN Loader und RN Stealer auf ihren Systemen installiert.

Bereits im Juli 2023 hatte GitHub bekannt gegeben, dass Mitarbeiter von Blockchain-, Kryptowährungs-, Online-Glücksspiel- und Cybersicherheitsunternehmen von dieser Bedrohung betroffen waren. Die Angreifer nutzen npm-Pakete, um die Systeme der Opfer zu infizieren. Im Juni desselben Jahres hatte Mandiant, ein Unternehmen von Google, die Vorgehensweise der Angreifer detailliert beschrieben.

Die Angreifer senden zunächst ein harmloses PDF-Dokument mit einer Jobbeschreibung über LinkedIn. Bei Interesse folgt ein Fragebogen, der die Opfer dazu auffordert, eine trojanisierte Python-Anwendung von GitHub herunterzuladen. Diese Anwendung, die angeblich Kryptowährungspreise anzeigt, ist in Wirklichkeit darauf ausgelegt, eine Verbindung zu einem Remote-Server herzustellen und eine zweite Schadsoftware herunterzuladen.

Die mehrstufige Angriffskette von Slow Pisces ist darauf ausgelegt, nur validierte Ziele zu treffen, basierend auf IP-Adresse, Geolokation und anderen Faktoren. Die Malware wird nur an erwartete Opfer ausgeliefert, was die Kontrolle über die Kampagne erhöht. Um verdächtige Funktionen zu vermeiden, nutzt Slow Pisces YAML-Deserialisierung zur Ausführung der Schadsoftware.

Die Malware RN Loader sammelt grundlegende Informationen über das Opfergerät und das Betriebssystem und sendet diese an einen Server. Anschließend wird ein Base64-codierter Blob heruntergeladen und ausgeführt, der die Malware RN Stealer enthält. Diese ist in der Lage, sensible Informationen von infizierten Apple macOS-Systemen zu stehlen, darunter Systemmetadaten, installierte Anwendungen und Konfigurationsdateien.

Die Angreifer nutzen auch ein Projekt namens “Cryptocurrency Dashboard”, das über GitHub heruntergeladen werden kann. Dieses Projekt verwendet das Embedded JavaScript (EJS) Templating-Tool, um Antworten vom Command-and-Control-Server zu verarbeiten. Diese Methode verschleiert die Ausführung von Schadcode und ist nur bei einem gültigen Payload sichtbar.

Jade Sleet ist eine von vielen nordkoreanischen Hackergruppen, die Jobangebote als Köder verwenden, um Malware zu verbreiten. Diese Kampagnen sind bemerkenswert, da sie ähnliche Infektionsvektoren nutzen, jedoch keine operativen Überschneidungen aufweisen. Slow Pisces hebt sich durch seine strenge Kontrolle der Payload-Auslieferung und den Einsatz von Malware, die nur im Speicher existiert, von anderen ab.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!