Thought Leadership
Cyberkriminelle setzen zunehmend auf raffinierte Methoden, um gezielt Softwareentwickler anzugreifen. Sicherheitsforscher von Proofpoint haben eine Kampagne analysiert, bei der vermeintliche Stellenangebote, Code-Reviews und technische Testaufgaben als Köder dienen.
Hinter den Anschreiben verbirgt sich jedoch Schadsoftware, die es auf Kryptowährungen, Zugangsdaten und digitale Identitäten abgesehen hat.
Die Aktivitäten werden von Proofpoint unter der Bezeichnung „UNK_DeadDrop“ geführt. Nach Einschätzung der Forscher gibt es Hinweise auf Verbindungen zu nordkoreanischen Bedrohungsakteuren, auch wenn eine eindeutige Zuordnung bislang nicht möglich ist.
Entwickler als besonders attraktives Ziel
Softwareentwickler stehen seit Jahren im Fokus professioneller Angreifer. Sie verfügen häufig über weitreichende Zugriffsrechte, arbeiten mit sensiblen Zugangsdaten und verwalten Schnittstellen zu Cloud-Diensten, Softwareprojekten oder Kryptowährungsplattformen.
In der aktuellen Kampagne wurden nach Angaben von Proofpoint mehr als 250 Phishing-E-Mails an Mitarbeiter von knapp 100 Organisationen versendet. Betroffen waren Unternehmen und Einrichtungen aus den Bereichen Technologie, Finanzwesen, Bildung und Unternehmensdienstleistungen. Ein besonderes Augenmerk lag dabei auf der Kryptowährungsbranche.
Die Angriffe wurden weltweit beobachtet, darunter auch in Deutschland.
Bewerbungsgespräche und Code-Reviews als Tarnung
Die Täter geben sich als Unternehmen aus unterschiedlichen Branchen aus und locken ihre Opfer mit angeblichen Stellenangeboten für Entwicklerpositionen. In anderen Fällen werden die Zielpersonen gebeten, Open-Source-Projekte zu prüfen oder technische Aufgaben zu bearbeiten.
Die Angreifer nutzen dabei professionell wirkende E-Mails und täuschend echt gestaltete Projekte. Teilweise wird den Empfängern sogar die Aussicht auf eine spätere Anstellung in Aussicht gestellt, um das Vertrauen weiter zu erhöhen.
Ziel ist es, die Entwickler dazu zu bewegen, bereitgestellte Projektdateien herunterzuladen und in ihrer gewohnten Entwicklungsumgebung zu öffnen.
Schadsoftware versteckt sich in Entwicklungsprojekten
Besonders bemerkenswert ist die Art der Infektion. Die bereitgestellten Projekte werden über manipulierte GitHub-Repositories verteilt, die auf den ersten Blick wie legitime Softwareprojekte erscheinen.
Öffnen Entwickler die Dateien beispielsweise in Visual Studio Code oder vergleichbaren Entwicklungswerkzeugen, werden im Hintergrund automatisiert schädliche Prozesse gestartet. Dabei nutzen die Angreifer Funktionen der Entwicklungsumgebung selbst aus und installieren unter anderem manipulierte Erweiterungen, die unauffällig im Hintergrund aktiv bleiben.
Nach Angaben von Proofpoint benötigt die Angriffsmethode nur minimale Benutzerinteraktion und bleibt deshalb häufig unbemerkt.
Angriff auf Windows, Linux und macOS
Die Kampagne wurde plattformübergreifend entwickelt. Je nach Betriebssystem kommen unterschiedliche Schadprogramme zum Einsatz.
Auf Linux- und macOS-Systemen installieren die Täter spezielle Fernzugriffsprogramme, die eine umfassende Kontrolle über das betroffene Gerät ermöglichen. Unter Windows wird Schadcode direkt innerhalb der Entwicklungsumgebung ausgeführt, ohne dass klassische Malware-Dateien sichtbar auf der Festplatte abgelegt werden.
Dadurch erschweren die Angreifer die Erkennung durch herkömmliche Sicherheitslösungen.
Kryptowährungen und Zugangsdaten im Fokus
Nach erfolgreicher Infektion beginnt die Schadsoftware damit, sensible Informationen zu sammeln. Besonders im Visier stehen digitale Wallets für Kryptowährungen, Browserdaten und gespeicherte Zugangsdaten.
Die Malware durchsucht zahlreiche bekannte Wallet-Erweiterungen und Anwendungen sowie lokale Speicherbereiche der Browser. Anschließend werden die gesammelten Daten an die Infrastruktur der Angreifer übertragen.
Darüber hinaus versuchen die Schadprogramme, zusätzliche Passwörter, Authentifizierungsdaten und Sicherheitsschlüssel auszulesen. Gelingt dies, können die Täter nicht nur Kryptowährungen entwenden, sondern erhalten häufig Zugriff auf weitere Unternehmens- und Cloud-Dienste.
Vertrauen wird zur größten Schwachstelle
Der Erfolg der Kampagne beruht vor allem auf einem psychologischen Faktor: Vertrauen. Entwickler arbeiten täglich mit GitHub-Repositories, Quellcode und Entwicklungswerkzeugen. Genau diese Routinen machen sich die Angreifer zunutze.
Da die schädlichen Komponenten direkt in den bereitgestellten Projekten enthalten sind, müssen keine zusätzlichen Dateien aus externen Quellen heruntergeladen werden. Dadurch wirkt der gesamte Vorgang für die Betroffenen zunächst legitim.
Die Analyse von Proofpoint zeigt erneut, dass moderne Cyberangriffe immer stärker auf glaubwürdige Szenarien und alltägliche Arbeitsabläufe setzen. Gerade technische Fachkräfte sollten deshalb auch bei vermeintlichen Bewerbungsprojekten, Open-Source-Anfragen oder Code-Reviews besondere Vorsicht walten lassen und fremde Projekte vor der Ausführung sorgfältig prüfen.
Der Fall verdeutlicht einen wachsenden Trend in der Cyberkriminalität: Statt klassische Unternehmensnetzwerke anzugreifen, konzentrieren sich Täter zunehmend auf die Werkzeuge der Entwickler selbst. Entwicklungsumgebungen, Erweiterungen und Quellcode-Plattformen werden damit immer häufiger zu einem direkten Angriffsziel.
Für Unternehmen bedeutet dies, dass Sicherheitsstrategien nicht nur Server, Endgeräte und Netzwerke umfassen dürfen. Auch die Entwicklungsprozesse und die eingesetzten Entwicklerwerkzeuge müssen stärker überwacht und abgesichert werden, um solche Angriffe frühzeitig zu erkennen.
(red/Proofpoint)
