- Die Lazarus Group entwickelt die Operation Dream Job-Kampagne weiter, um Web3-Entwickler anzusprechen
- Neue „Graphalgo“-Variante nutzt bösartige Abhängigkeiten in legitimen Bare-Bone-Projekten auf PyPI/npm
- ReversingLabs hat etwa 200 Schadpakete gefunden, die Bibliotheken wie Graphlib fälschen und darauf abzielen, Kryptowährungen zu stehlen
Die berüchtigte Lazarus-Bande entwickelt ihre Operation Dream Job-Kampagne weiter, um noch mehr Softwareentwickler anzusprechen und dabei noch mehr Krypto zu stehlen.
Die Sicherheitsforscher ReversingLabs behaupten, ab Mai 2025 Änderungen an der Kampagne mit dem Namen „Graphalgo“ gesehen zu haben, bei der Lazarus ein legitimes Basisprojekt übernimmt und eine bösartige Abhängigkeit hinzufügt, die sie für den Angriff nutzen.
Für diejenigen, die mit Operation Dream Job nicht vertraut sind: Es handelt sich um eine fortlaufende Kampagne, die von staatlich geförderten Hackern Nordkoreas ins Leben gerufen wurde. Sie erstellen gefälschte Stellenanzeigen auf LinkedIn und anderen Plattformen und bieten verlockende Jobs für Softwareentwickler an, die hauptsächlich in der Web3-(Blockchain-)Branche tätig sind.
Codename Graphalgo
Während des „Einstellungsprozesses“ bitten sie die Kandidaten, einige Testaufgaben zu absolvieren, die immer damit enden, dass die Opfer Schadcode herunterladen und ausführen. Dieser Code kann unterschiedlich sein, aber das Ziel besteht immer darin, sie zu leeren Krypto-Wallets – seien es eigenständige Apps, Browser-Add-ons oder Konten bei beliebten Krypto-Börsen.
„Es ist einfach, solche Job-Task-Repositories zu erstellen. Bedrohungsakteure müssen lediglich ein legitimes Basisprojekt nehmen und es mit einer böswilligen Abhängigkeit ausstatten, und schon kann es den Zielen bereitgestellt werden“, so die Forscher. Die meisten dieser Projekte werden auf legitimen Plattformen wie PyPI oder npm gehostet, was es für die Opfer schwieriger macht, den Angriff zu erkennen.
Bisher hat ReversingLabs fast 200 Schadpakete gefunden.
Die Aktualisierung erhielt den Namen Graphalgo, da alle bösartigen Pakete das Präfix „graph“ in ihrem Namen hatten und häufig reguläre Bibliotheken wie graphlib fälschten. In jüngerer Zeit wurde „graph“ durch „big“ ersetzt, aber die Forscher müssen noch den Rekrutierungsteil finden, der zu diesen Paketen gehört.
Über BleepingComputer
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
