Nordkoreanische Hacker greifen Open-Source-Maintainer per Social Engineering an
Sie befinden sich: Home > News Archiv > Virus > Nordkoreanische Hack...
Gefälschte Podcast-Einladungen, wochenlanger Vertrauensaufbau und ein manipulierter Videocall: Nordkoreanische Angreifer haben es gezielt auf Maintainer beliebter npm-Pakete abgesehen.
Wenn Vertrauen zur Waffe wird
Wer täglich Code schreibt, der von Millionen Menschen genutzt wird, denkt meistens an Performance-Probleme, fehlende Tests oder Dependency-Konflikte. Dass ein freundlicher Kontakt auf LinkedIn irgendwann ein Remote-Access-Trojaner auf dem eigenen Rechner sein könnte, gehört selten zur gedanklichen Checkliste.
Genau das haben nordkoreanische Angreifer ausgenutzt. Security-Forscher ordnen die Aktivitäten einer Gruppe namens UNC1069 zu. Ihre Methode ist kein technischer Zero-Day-Exploit, sondern geduldige Manipulation von Menschen.
Wer ins Visier geraten ist
Die Angreifer suchen keine Zufallsopfer. Im Fokus stehen Maintainer einiger der meistgenutzten Open-Source-Pakete im JavaScript-Ökosystem: Lodash, Fastify, Dotenv und Webtorrent zählen zu den betroffenen Projekten. Diese Tools summieren sich auf Milliarden monatlicher Downloads. Wer hier einen Schadcode einschleust, erreicht eine Reichweite, von der viele Malware-Kampagnen nur träumen können.
Zu den Betroffenen gehören hochkarätige Namen: Feross Aboukhadijeh, CEO von Socket, und Matteo Collina, Vorsitzender des Node.js Steering Committee, berichten, dass sie gezielt angesprochen wurden. Collina schilderte, die Kontaktperson habe sich als Vertreter eines legitimen Unternehmens ausgegeben.
Monate der Geduld
Die Angreifer investieren Zeit. Wochenlang bauen sie Vertrauen auf, bevor sie zum eigentlichen Angriff übergehen. Der erste Kontakt läuft meist über LinkedIn oder Slack, mit sorgfältig gestalteten Fake-Profilen und erfundenen Unternehmensidentitäten. Eine der genutzten Firmen nannte sich Openfort.
Der Ablauf folgt einem Schema: Einladung in einen privaten Slack-Channel, dann eine Anfrage für ein Podcast-Interview oder eine Expertenrunde. Termine werden vereinbart, verschoben und noch einmal bestätigt, um Professionalität vorzutäuschen. Nach einigen Wochen wirkt die Verbindung völlig normal.
Der Angriff im Videocall
Der eigentliche Angriff passiert im Videogespräch. Kurz nach Beginn des Calls meldet die Seite ein technisches Problem, typischerweise mit dem Mikrofon oder der Kamera. Die Lösung: eine bestimmte Anwendung herunterladen oder einen Befehl direkt im Terminal ausführen.
Wer das tut, installiert einen Remote-Access-Trojaner. Die Schadsoftware greift Browser-Cookies, Cloudzugangsdaten und aktive Session-Tokens ab, und das nicht einmalig, sondern kontinuierlich.
Warum 2FA hier nichts bringt
Klassische Sicherheitsratschläge wie "Zwei-Faktor-Authentifizierung aktivieren" helfen in diesem Fall nicht. Die Malware stiehlt keine Passwörter, sondern bereits aktive Session-Tokens. Mit diesen Tokens lassen sich Aktionen im Namen des Opfers ausführen, ohne dass ein erneuter Login mit 2FA-Bestätigung nötig wäre.
Im Fall von Axios wurden auf diese Weise Pakete direkt im npm-Registry veröffentlicht. Das npm-System prüfte keine weiteren Anmeldedaten, weil die Session als legitim galt. Ein einziges kompromittiertes Paket, automatisch über Dependency-Updates verteilt, kann Millionen von Projekten und Endnutzern erreichen.
Das strukturelle Problem
Der Axios-Vorfall macht ein grundlegendes Dilemma sichtbar. Kritische Software-Infrastruktur, auf die ein erheblicher Teil des Internets aufbaut, liegt in den Händen von Einzelpersonen. Viele dieser Maintainer arbeiten ehrenamtlich, ohne Security-Team im Rücken, ohne professionelle Awareness-Trainings.
Kein technischer Patch löst dieses Problem. Solange ein Angreifer einfach nur nett genug sein und die richtige Podcast-Einladung schicken muss, um Zugang zu millionenfach genutzten Paketen zu bekommen, bleibt das Risiko systemisch. Die Schwachstelle sitzt nicht im Code, sondern in der Struktur des Open-Source-Ökosystems selbst.
hacker open gezielt gefälschte greifen
Neusten News in der Kategorie "Virus"
| • Axios gehackt: Malware über beliebten HTTP-Client verbreitet... Ein Angreifer hat den NPM-Account des Axios-Maintainers übernommen und... |
| • Neue Android-Malware manipuliert Kontaktliste für Fake-Anruf... Eine neue Android-Malware namens RoarBat fügt gefälschte Kon... |
| • Wie ein Komma die Defender-Sicherheit aushebelt Ein simples Komma genügt, um die Sicherheitsmechanismen des Micro... |
| • Handy-Virus: Jedes Java“-Handy ist gefährdet – Virus verschi... Mit dem Namen "Trojan-SMS.J2ME.RedBrowser.a" wurde der erste Handy-Vir... |
| • Trojaner ''Meheerwar'' im Umlauf - Er öffnet und schließt u.... Zurzeit ist der Trojaner "Meheerwar" im Internet unterwegs. Der Virus ... |
| • Mit gefälschten Februar-Rechnungen der Telekom wird Trojaner... Seit ein paar Tagen finden viele Internetnutzer in ihren Internetbrief... |
| • Viren: Neues Angriffsziel sind Handys und Konsolen Antiviren-Spezialisten haben im Jahr 2005 nur zwei größere Virenausbrü... |
| • Trojaner überschreibt Google AdSense-Werbung Ein Trojaner überschreibt Google AdSense-Anzeigen auf Websites und in ... |
| • Gefährlicher Virus verbreitet sich als Messenger-Update Ein neuer Virus breitet sich derzeit im Internet aus. Dieser Virus hei... |
| • Neuer Weihnachtswurm im Umlauf Seit kurzem ist ein neuer Weihnachtswurm im Umlauf, dies meldet der An... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.