„Fake it ‘til you make it“

Fake-Jobs als Cyber-Falle: So trickst NICKEL ALLEY Entwickler aus

Hacker, NICKEL ALLEY Hacker, NICKEL ALLEY Fake-Jobs, PyLangGhost RAT Malware, nordkoreanische Hackergruppe, NICKEL ALLEY, Nordkorea
LinkedInRedditWhatsApp

Die nordkoreanische Hackergruppe NICKEL ALLEY nutzt gefälschte Jobangebote, um Entwickler zu täuschen. Ihr Ziel sind Kryptowährungen und sensible Unternehmensdaten.

Gefährliche Masche: Fake-Jobs, Fake-Websites, Fake-Code

NICKEL ALLEY lockt Softwareentwickler über gefälschte LinkedIn-Profile, fingierte Jobangebote und manipulierte GitHub-Repositorien in die Falle. Im Rahmen der sogenannten „Contagious Interview“-Kampagnen sollen Kandidaten technische Aufgaben auf von den Angreifern kontrollierten Websites lösen. Dort erscheint ein angeblicher Fehler, der die Opfer auffordert, einen lokalen Befehl auszuführen. Tatsächlich lädt und installiert dieser den PyLangGhost RAT, einen Remote-Access-Trojaner.

Anzeige

Die professionell wirkenden Websites enthalten oft grobe Fehler, wie unveränderten Platzhaltertext „IT solutions & Corporate template“. Mit der Taktik „ClickFix“ werden Opfer durch vorgetäuschte technische Probleme zur Ausführung schädlicher Befehle gebracht.

PyLangGhost RAT: Unsichtbare Bedrohung

Der Trojaner verschafft den Angreifern vollständige Kontrolle über infizierte Systeme. Er kann Dateien verwalten, Anmeldeinformationen stehlen und richtet sich gezielt gegen Browser-Erweiterungen und Krypto-Wallets. NICKEL ALLEY fordert explizit die Ausführung des Schadcodes auf Firmenrechnern, was zeigt, dass die Angriffe nicht nur auf Kryptowährungen, sondern auch auf Unternehmensdaten abzielen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Schutzmaßnahmen für Unternehmen

Sicherheitsexperten empfehlen folgende Maßnahmen:

Anzeige
  • Misstrauen bei unaufgeforderten Jobangeboten: Bewerber sollten insbesondere in Finanz- und Technologiebranchen LinkedIn-Nachrichten kritisch prüfen.
  • Vorsicht bei technischen Aufgaben im Bewerbungsprozess: Befehle von unbekannten Websites oder GitHub-Repositorien niemals ausführen.
  • Monitoring von Command-Execution: IT-Abteilungen sollten ungewöhnliche Befehle aus %TEMP%, PowerShell oder über Clipboard-Daten überwachen.
  • Sensibilisierung der Belegschaft: Schulungen zu Social-Engineering-Angriffen helfen, Risiken bei der Ausführung von Code auf Firmenrechnern zu vermeiden.

Hintergrund: NICKEL ALLEY und staatlich gesteuerte Angriffe

Die Gruppe agiert im Auftrag der nordkoreanischen Regierung und ist bekannt für gezielte Cyberangriffe auf die IT-Branche. Neben gefälschten Jobs kompromittiert sie npm-Paket-Repositorien und nutzt Typosquatting, um Entwickler zu täuschen. Die aktuelle Kampagne zeigt die wachsende Gefahr durch staatlich gesteuerte Angriffe auf Software-Lieferketten und Unternehmensinfrastrukturen.

Weitere Informationen:

Der komplette englischsprachige Blogbeitrag mit zusätzlichen technischen Informationen steht hier.

(vp/Sophos)


Anzeige

Artikel zu diesem Thema

Nordkorea, Hacker, TA444
10. Februar 2026
Nordkoreas Cyber-Dreizack: Wie sich Labyrinth Chollima aufspaltete
Nordkorea
4. Juli 2025
Nordkorea-Hacker infiltrierte 100 Unternehmen
Hacker, hacker tarnt sich als mitarbeiter, cyberspionage nordkorea, nordkoreanische hacker, remote job hacker, Nordkorea, Remote
16. Mai 2025
Nordkoreas Cyber-Spione: Remote-Jobs als Tarnung
Kim Jong Un
5. Mai 2025
Die Kim-Jong-Un-Frage: So werden nordkoreanische IT-Spione entlarvt

Weitere Artikel

Chinesische Hackergruppe TA416 greift EU und NATO an
Supply-Chain-Angriff auf Python-Paket Telnyx
Neue SparkCat-Malware in Google Play und App Store
BKA zerschlägt Aisuru und Kimwolf – doch die nächste Hydra wächst bereits
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.