Sicherheitsforscher von Proofpoint haben eine Phishingkampagne eines wahrscheinlich nordkoreanischen Bedrohungsakteurs identifiziert. Getarnt als Stellenangebote oder Code-Review-Anfragen, zielen die Angriffe auf Softwareentwickler ab und sollen Kryptowährungs-Wallets sowie Authentifizierungs-Daten stehlen.
Software-Entwickler im Visier: Sicherheitsforscher von Proofpoint haben eine Phishingkampagne eines wahrscheinlich nordkoreanischen Bedrohungsakteurs identifiziert. Getarnt als Stellenangebote oder Code-Review-Anfragen, zielen die Angriffe auf Softwareentwickler ab und sollen Kryptowährungs-Wallets sowie Authentifizierungs-Daten stehlen.
Zwischen April und Mai 2026 beobachteten Sicherheitsforscher von Proofpoint eine Phishingkampagne, bei der ein wahrscheinlich nordkoreanischer Bedrohungsakteur gezielt Softwareentwickler in Organisationen aus den Bereichen Technologie, Finanzen, Kryptowährungen und Bildung angriff. Die unter dem Namen UNK_DeadDrop verfolgte Operation nutzt GitHub-Repositories, bösartige Visual-Studio-Code-Erweiterungen und plattformübergreifende Malware, um Kryptowährungs-Wallets zu leeren und Browser-Zugangsdaten zu extrahieren.
Die Köder
Die Angreifer versendeten mehr als 250 E-Mails an Personen in knapp 100 Organisationen verschiedener Sektoren, mit besonderem Fokus auf die Kryptowährungsbranche. Die geografische Verteilung der Ziele war global und schloss Deutschland ein. Die E-Mails wurden über vom Angreifer kontrollierte Domains versandt und boten Stellen wie Full-Stack Engineer oder Agent Lead Developer an, eingebettet in ein scheinbar strukturiertes Bewerbungsverfahren.
Um Glaubwürdigkeit herzustellen, imitierten die Angreifer reale oder plausibel erscheinende Organisationen: Ondo Finance, eine DeFi-Plattform; Empower Pharmacy; NXLog, ein Log-Erfassungstool; OnePlan, eine Plattform für Portfolio- und Arbeitsmanagement; Hypen Connect, eine Web3- und KI-Talentagentur; Valon, ein Hypothekendienstleister; sowie Nourish, ein Telemedizin-Unternehmen. Eine zweite Kampagnenvariante wandte sich an Entwickler mit der Bitte um Peer-Reviews zu vermeintlichen Open-Source-Projekten unter den Namen Pulsynk und Trixauvex, verbunden mit der Aussicht auf ein Jobangebot abhängig von der Qualität der eingereichten Korrekturen. Eine weitere Variante bat Entwickler, einen ERC-4626-Vault in Foundry zu testen, einem Toolkit für die Ethereum- und Smart-Contract-Entwicklung. Die zuletzt beobachtete Iteration verwendete ein Projekt zum Aufbau KI-agentenbasierter Systeme mit Zahlungsfunktionen.
Die Infektionskette
Die Phishing-E-Mails enthalten Links zu bösartigen GitHub-Repositories, die als technische Aufgaben oder Blockchain-Projekte getarnt sind. Die Opfer werden aufgefordert, das Repository zu klonen und in einem Editor wie VS Code oder Cursor zu öffnen. Sobald der Ordner geöffnet wird, triggert eine versteckte `.vscode/tasks.json`-Datei automatisch ein Skript. Dieses Skript installiert eine bösartige VS-Code-Erweiterung namens `google-update-support.vsix`, die sich als legitimer Google-Dienst ausgibt. Gleichzeitig dekodiert und startet das Skript plattformspezifische Malware-Payloads für Linux, macOS oder Windows.
Auf macOS und Linux setzt der Angreifer Go-Binärdateien ein, die auf dem quelloffenen Overlord-Framework basieren und als vollwertige Remote-Access-Trojaner fungieren. Auf Windows läuft die Malware vollständig als JavaScript im Electron-Prozess des Editors ab, ohne Binärdateien auf die Festplatte zu schreiben. Dieser Ansatz reduziert die Erkennbarkeit durch herkömmliche Endpoint-Security-Tools erheblich. Die besondere Wirksamkeit der Infektionskette ergibt sich daraus, dass alle Payloads direkt im Repository eingebettet sind und keine externen Download-Server benötigt werden, die abgeschaltet werden könnten.
Der Diebstahl
Der Kryptowährungsdiebstahl vollzieht sich in zwei Phasen. In der ersten sammelt die Malware systematisch alle Wallet-Daten: Sie erfasst 35 browserbasierte Wallet-Extensions wie MetaMask, Phantom, Rabby und Keplr sowie 18 eigenständige Wallet-Anwendungen wie Exodus, Electrum und Ledger Live. Daneben werden Browser-Profile, lokale Speicher und IndexedDB-Einträge ausgelesen. Alle gesammelten Daten werden in ein ZIP-Archiv verpackt und zum Command-and-Control-Server hochgeladen.
In der zweiten Phase erfolgt der Diebstahl von Zugangsdaten und Safe-Storage-Schlüsseln. Auf macOS zeigt die Malware einen gefälschten Systemdialog an, der den Benutzer zur Passwort-Eingabe auffordert. Nach erfolgreicher Eingabe werden die Keychain-ACLs modifiziert, auf Root-Rechte eskaliert und die Safe-Storage-Schlüssel der Browser sowie die gesamten Keychain-Daten extrahiert. Auf Linux verwendet die Malware das Dialog-Tool Zenity für die Passwortabfrage und liest anschließend den GNOME-Keyring aus. Über Python-Prozesse werden verschlüsselte Keyring-Schemas abgefragt, die Rechte-Eskalation erfolgt via `runuser`. Auf Windows führt ein Python-Skript einen DPAPI- und App-Bound-Encryption-Bypass durch, um Passwörter aus Chrome, Edge und Brave zu extrahieren sowie Cookies und weitere Zugangsdaten zu stehlen.
Die gestohlenen Daten werden an einen Command-and-Control-Server unter der IP-Adresse 23.137.105.75 übermittelt. Auf macOS und Linux geschieht dies über eine persistente WebSocket-Verbindung, auf Windows als HTTP-POST-Anfrage. Die Malware überträgt neben den Wallet-Daten sämtliche Browser-Passwörter, Cookies, Safe-Storage-Schlüssel und Keychain-Daten und verschafft dem Angreifer damit umfassenden Zugriff auf die digitale Infrastruktur des Opfers.
Persistenz und Verschleierung
Nach Abschluss der Datenexfiltration löscht die Malware ihre Payload-Dateien und Verzeichnisse, um Spuren zu verwischen. Auf macOS und Linux bleibt die bösartige VSIX-Extension jedoch persistent und wird bei jedem Editor-Start neu geladen, um eine andauernde Kontrolle zu sichern. Auf Windows erfolgt nur eine Einmal-Ausführung ohne Persistenzmechanismus.
Die Proofpoint-Analysten stellen fest, dass dieser Ansatz besonders effektiv ist, weil er routinemäßiges Entwicklerverhalten ausnutzt: GitHub-Repositories zu klonen ist eine alltägliche Tätigkeit, und die stille Ausführung ohne sichtbare Terminal-Aktivität erschwert die Erkennung erheblich. Die Kampagne weist Ähnlichkeiten mit Operationen auf, die der nordkoreanischen Gruppe Contagious Interview zugeschrieben werden; Proofpoint verfolgt sie aufgrund fehlender direkter Überschneidungen in seiner Telemetrie jedoch als eigenständigen Cluster.
Einordnung des Bedrohungsakteurs
Nordkoreanische Bedrohungsakteure fahren schon lange gezielte Angriffe auf Entwickler. Ihre Methoden umfassen die Tarnung als technische Eignungstests oder Coding Challenges, den Einsatz von ClickFix-Techniken sowie den Missbrauch von Visual-Studio-Code-Funktionen zur Malware-Ausführung. Die Kontaktaufnahme läuft oft über LinkedIn, Slack oder Telegram, häufig plattformübergreifend. Konstante Ziele über alle Kampagnen hinweg sind API-Token, Kryptowährungs-Wallets und Authentifizierungs-Daten. Die UNK_DeadDrop-Kampagne verdeutlicht die operative Reife dieser Akteure: Sie verbindet Social Engineering auf der Rekrutierungsebene mit technisch ausgefeilter Multi-Plattform-Malware, die auf der Infrastrukturebene vertrauenswürdige Werkzeuge missbraucht.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de