{"id":491,"date":"2024-10-04T08:25:44","date_gmt":"2024-10-04T08:25:44","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=491"},"modified":"2024-10-04T08:25:44","modified_gmt":"2024-10-04T08:25:44","slug":"nordkoreanische-cyberspione-kodern-entwickler","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=491","title":{"rendered":"Nordkoreanische Cyberspione k\u00f6dern Entwickler"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Nordkoreanische Hacker werden immer kreativer, wenn es darum geht, Daten zu ergaunern\n

FOTOGRIN \u2013 shutterstock.com<\/p>\n<\/div>\n

Softwareentwickler sind wertvolle Ziele f\u00fcr staatlich unterst\u00fctzte Angreifer, da ihre Computer oft sensible Informationen und Zugangsdaten enthalten. Solche Daten k\u00f6nnen f\u00fcr Spionage und Angriffe auf die Software-Lieferkette verwendet werden.<\/p>\n

\u00dcber eine Form solcher Angriffskampagnen mit dem Namen DEV#POPPER hatte die IT-Sicherheitsfirma Securonix bereits\u00a0im April<\/a>\u00a0berichtet. Die Forscher ordneten den Angriff schon damals einem nordkoreanischen Bedrohungsakteur zu. Doch obwohl sowohl die Malware als auch die verwendeten Techniken aufgedeckt wurden, setzten die Angreifer ihre Kampagne offenbar fort.<\/p>\n

Malware im Testprojekt versteckt<\/h3>\n

Die Cyberkriminellen kontaktierten Entwickler, um sie zu einem Bewerbungsgespr\u00e4ch einzuladen. Im Rahmen der Fake-Interviews sollen die Opfer dabei scheinbar legitime Code-Projekte von GitHub herunterladen, die jedoch b\u00f6sartigen JavaScript-Code enthalten. Diese Projekte enthielten Dutzende legitimer Dateien, aber auch eine stark verschleierte JavaScript-Funktion, welche eine Infektionskette ausl\u00f6ste.<\/p>\n

Ein aktuelles Beispiel ist das Node.js-Projekt onlinestoreforhirog.zip, dessen versteckter Code sich vor Anti-Malware-Engines verbirgt und Systeminformationen an einen Command-and-Control-Server sendet. Da es sich um ein Node.js-Projekt handelt, werden Entwickler aufgefordert, die Datei zu entpacken und anschlie\u00dfend \u201cnpm install\u201d und \u201cnpm start\u201d auszuf\u00fchren, um das Projekt bereitzustellen.<\/p>\n

Gut getarnt unter anderen Projekten<\/h3>\n

Der Schadcode verwendet mehrere Verschleierungstechniken, darunter Base64-Kodierung, dynamische Funktions- und Variablennamen, Verkettung und Aufteilung von Zeichenketten sowie Prototyp-Verschleierung. Nur 3 von 64 Antimalware-Engines auf VirusTotal erkannten diese Datei zum Zeitpunkt der Entdeckung als verd\u00e4chtig.<\/p>\n

Nach der Ausf\u00fchrung erkennt das sch\u00e4dliche Skript das Betriebssystem (Windows, Linux oder macOS) und setzt seine Ausf\u00fchrung je nach Plattform fort. Das Skript sammelt Informationen \u00fcber das System sowie Dateien und Protokolle und l\u00e4dt diese zusammen mit generierten Kennungen zur eindeutigen Identifizierung des Computers auf den Command-and-Control-Server (C&C-Server) hoch.<\/p>\n

Ein ausgekl\u00fcgeltes Vorgehen<\/h3>\n

Das Skript f\u00fchrt dann eine Funktion aus, die eine Datei namens pdown vom C&C-Server herunterl\u00e4dt, bei der es sich in Wirklichkeit um ein lokal als p2.zip gespeichertes Archiv handelt. Dieses Archiv enth\u00e4lt die n\u00e4chste Stufe des Angriffs, n\u00e4mlich ein Python-Skript namens .npl, das ein weiteres Python-Skript namens pay entschl\u00fcsselt.<\/p>\n

Das Skript f\u00fchrt dann eine Funktion aus, die eine Datei namens pdown vom C&C-Server herunterl\u00e4dt. Hierbei handelt es sich in Wirklichkeit um ein lokal als p2.zip gespeichertes Archiv. Dieses Archiv enth\u00e4lt die n\u00e4chste Stufe des Angriffs, n\u00e4mlich ein Python-Skript namens .npl, welches ein weiteres Python-Skript namens pay entschl\u00fcsselt.<\/p>\n

RAT aktualisiert mit neuen Funktionen<\/h3>\n

Das pay-Skript fungiert als Remote Access Tool (RAT), das detaillierte System- und Netzwerkinformationen sowie den geografischen Standort auf Basis der IP-Adresse sammelt.<\/p>\n

Das Skript erm\u00f6glicht es einem Angreifer, Informationen aus dem System zu sammeln und sie per FTP auf einen entfernten Server hochzuladen. Es protokolliert auch Tastatureingaben und Informationen, die in die Zwischenablage kopiert werden. Zus\u00e4tzlich erm\u00f6glicht es die Ausf\u00fchrung von Befehlen und zus\u00e4tzlichen Nutzdaten.<\/p>\n

Im Vergleich zu der im April beobachteten Variante kann die neue RAT-Version auch die Software Anydesk Remote Monitoring and Management (RMM) ausnutzen. Dies erm\u00f6glicht dem Angreifer den Fernzugriff auf den Desktop des Opfers.<\/p>\n

Ein weiteres entdecktes Python-Skript namens browser_cookie3 extrahiert Passw\u00f6rter und Session-Cookies aus Browsern.<\/p>\n

Auch Linux und macOS nicht sicher<\/h3>\n

Die Forscher berichten zudem, dass die erweiterte DEV#POPPER-Kampagne weiterhin Python-Skripte f\u00fcr einen mehrstufigen Angriff verwendet. Alle genannten Skripte inklusive der von Python sind in der Lage, sich an verschiedene Betriebssysteme anzupassen. Die Angreifer haben somit ihr Toolset um ein Skript erweitert, welches neben Windows auch Linux und macOS unterst\u00fctzt. Attacken dieser Art zielen auf die Exfiltration sensibler Informationen ab und verf\u00fcgen nun \u00fcber robustere F\u00e4higkeiten.<\/p>\n

Entwickler bleiben als Ziel beliebt<\/h3>\n

Diese und\u00a0andere Angriffe<\/a>\u00a0betreffen vor allem Opfer in S\u00fcdkorea, Nordamerika, Europa und dem Nahen Osten, was auf eine globale Bedrohung hindeutet. Es ist daher wichtig, die Computer von Entwicklern streng zu kontrollieren und zu \u00fcberwachen. (tf)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Nordkoreanische Hacker werden immer kreativer, wenn es darum geht, Daten zu ergaunern FOTOGRIN \u2013 shutterstock.com Softwareentwickler sind wertvolle Ziele f\u00fcr staatlich unterst\u00fctzte Angreifer, da ihre Computer oft sensible Informationen und Zugangsdaten enthalten. Solche Daten k\u00f6nnen f\u00fcr Spionage und Angriffe auf die Software-Lieferkette verwendet werden. \u00dcber eine Form solcher Angriffskampagnen mit dem Namen DEV#POPPER hatte die […]<\/p>\n","protected":false},"author":0,"featured_media":492,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-491","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/491"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=491"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/491\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/492"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=491"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=491"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=491"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}