KI-gestützte Lazarus-Kampagne zielt mit hinterhältigen Coding-Challenges auf Entwickler ab

Eine von Nordkorea staatlich geförderte Bedrohungsgruppe führt eine aktive Kampagne durch, bei der sie Softwareentwickler durch gefälschte Vorstellungsgespräche und manipulierte Programmieraufgaben dazu verleitet, Malwar Eine von Nordkorea staatlich geförderte Bedrohungsgruppe führt eine aktive Kampagne durch, bei der sie Softwareentwickler durch gefälschte Vorstellungsgespräche und manipulierte Programmieraufgaben dazu verleitet, Malware zu installieren.

Die Gruppe, die von der Cybersicherheitsfirma Expel als HexagonalRodent (auch als Expel-TA-0001 bezeichnet) verfolgt wird, wird weithin als Untergruppe oder Ableger des breiteren Lazarus-Hacking-Ökosystems angesehen, das mit dem Geheimdienstapparat Nordkoreas verbunden ist. Die Kampagne folgt einem einfachen, aber effektiven Muster.

Bedrohungsakteure geben sich als Tech-Recruiter aus und nähern sich Entwicklern über Plattformen wie oder veröffentlichen gefälschte Stellenangebote auf beliebten Karriereportalen.

Sobald ein Entwickler Interesse zeigt, erhält er eine „zu Hause durchzuführende Programmierprüfung“ (take-home coding assessment), ein Projekt, das er fertigstellen und zur Überprüfung einreichen muss. Diese Prüfungen wirken legitim, enthalten jedoch versteckte Malware, die leise in den Code und die Projektkonfigurationsdateien eingebettet ist.

Die Gruppe zielt hauptsächlich auf Web3-Entwickler ab mit dem Ziel, Kryptowährungen und NFTs zu stehlen.

In nur drei Monaten exfiltrierte der Bedrohungsakteur insgesamt 26.584 Kryptowährungs-Wallets von 2.726 infizierten Entwicklersystemen, wobei die öffentlichen Schlüssel von Wallets, die bis zu 12 Millionen US-Dollar an Krypto-Assets beherbergen, offengelegt wurden.