Cybersicherheit, Click-Fix

ESET warnt vor DeceptiveDevelopment: Scheinjobs treffen Entwickler der Krypto- und Web3-Branche in Europa

25.09.2025 - 14:30:00

Jena - Neu ist die Idee von Scheinjobs nicht, mit denen nordkoreaverbundene Hackergruppen Entwickler neuerdings auch in Europa ĂŒbertölpeln wollen. Überraschend ist hingegen die hoch professionelle, technisch versierte Vorgehensweise und das Tempo, mit denen "DeceptiveDevelopment" Entwickler aus der Krypto- und Web3-Branche angreift. Nach Erkenntnissen des IT-Sicherheitsherstellers ESET geben sich die TĂ€ter als Recruiter aus und verschicken seriös wirkende Bewerbungsaufgaben. Ziel sind Geld und ZugĂ€nge wie beispielsweise Krypto-Vermögen, Wallet-SchlĂŒssel, Entwicklerkonten und Cloud-Tokens.

FĂŒr die Attacken nutzen die Hacker die Social-Engineering-Methode namens ClickFix, die sie angepasst und optimiert haben. Die Opfer werden auf eine gefĂ€lschte Website fĂŒr VorstellungsgesprĂ€che gelockt und gebeten, ein detailliertes Bewerbungsformular auszufĂŒllen. Das an sich kostet viel Zeit und MĂŒhe. Im letzten Schritt werden sie aufgefordert, eine Videoantwort aufzunehmen. Die manipulierte Website zeigt einen vorgetĂ€uschten Kamerafehler und fordert die Nutzer mit dem Hinweis "So beheben Sie das Problem" zum Handeln auf. Per Klick öffnet sich eine Anleitung, die zum AusfĂŒhren eines Terminalbefehls auffordert – angeblich zur Behebung von Kamera- oder Mikrofonstörungen. TatsĂ€chlich aber lĂ€dt der Befehl Schadsoftware nach, die sich zusammen mit verstecktem Code in den Bewerbungsaufgaben aktiviert. Eine detaillierte Analyse haben die ESET-Experten auf www.welivesecurity.de ( https://www.welivesecurity.com/de/eset-research/vom-primitiven-krypto-diebstahl-zum-raffinierten-ki-basierten-betrug ) veröffentlicht.

Was daran neu und warum es jetzt relevant ist

ESET weist DeceptiveDevelopment als eigenstĂ€ndige Gruppe mit klarem Werkzeugkasten aus. ZusĂ€tzlich hat der europĂ€ische Sicherheitshersteller öffentlich verfĂŒgbare OSINT-Daten ("Open Source Intelligence") ausgewertet, die die Verbindung zu nordkoreanischen IT-ArbeitskrĂ€ften in betrĂŒgerischen BeschĂ€ftigungsmodellen zeigen. Dokumentiert sind gefĂ€lschte IdentitĂ€ten, manipulierte Profilfotos und Gesichtswechsel in Videointerviews. AuffĂ€llig ist die Verlagerung nach Europa. Genannt werden unter anderem Frankreich, Polen, die Ukraine und Albanien.

"Die Angreifer setzen weniger auf spektakulĂ€re Exploits und mehr auf GlaubwĂŒrdigkeit und Geschwindigkeit", sagt Peter KĂĄlnai aus dem ESET Research Team. "Gute Profile, plausible Projekte und am Ende ein kurzer Befehl genĂŒgen, um selbst erfahrene Entwickler auszutricksen."

Wen es trifft

Im Fokus stehen Entwickler und Teams aus der Krypto- und Web3-Branche, die zum Beispiel an Blockchains, Smart Contracts, Wallets oder Krypto-Börsen arbeiten. GefĂ€hrdet sind auch Recruiter und Personalabteilungen, die remote rekrutieren oder Coding-Aufgaben vergeben. Die eingesetzten Schadprogramme sind fĂŒr Windows, Linux und macOS ausgelegt.

So schĂŒtzen sich Recruiter und Bewerber

* IdentitĂ€ten prĂŒfen. Profile, Referenzen und Firmendaten abgleichen. Aufgaben aus privaten Git-Repositories nur in abgesicherten Testumgebungen öffnen. * Keine Befehle aus dem Web kopieren. Terminal- oder PowerShell-Befehle nie blind ĂŒbernehmen. Bei angeblichen Kamera- oder Login-Fehlern die eigene IT einbinden. Genau hier greift der ClickFix-Trick. * Tokens und ZugĂ€nge trennen. FĂŒr Testaufgaben keine ProduktivschlĂŒssel verwenden. Zugangsdaten und Wallets strikt separieren. * Erkennung und Reaktion stĂ€rken. EDR oder XDR einsetzen, Protokolle zentral auswerten, Alarme und Playbooks festlegen und regelmĂ€ĂŸig testen. * Recruiting absichern. Videointerviews mit EchtheitsprĂŒfungen, klare Freigaben, Vier-Augen-Prinzip. Bei Verdacht Prozesse stoppen und melden.

ZusÀtzliche Fachinformationen

Taktik und Ablauf

Die Ansprache erfolgt ĂŒber LinkedIn, Upwork, Freelancer und Crypto Jobs List. Die Aufgaben kommen aus privaten GitHub-, GitLab- oder Bitbucket-Repositories. Darin steckt trojanisierter Code. ZusĂ€tzlich nutzen die TĂ€ter ClickFix. Eine gefĂ€lschte Seite liefert eine Fehlermeldung und einen kurzen Textbefehl. Wer den Befehl in die Konsole kopiert, lĂ€dt die Malware nach.

Werkzeuge und Ziele

Typische Komponenten sind die Infostealer BeaverTail, OtterCookie und WeaselStore sowie der modulare Remotezugriff InvisibleFerret. ErgĂ€nzend tritt TsunamiKit als Toolkette auf. In der Backdoor-Linie zeigt Tropidoor CodeĂŒberschneidungen mit PostNapTea aus dem Lazarus-Umfeld. Das PrimĂ€rziel ist der Diebstahl finanzieller Werte und ZugĂ€nge. Die AktivitĂ€ten laufen plattformĂŒbergreifend auf Windows, macOS und Linux.

OSINT-Befunde zu nordkoreanischen IT-ArbeitskrÀften

ESET beschreibt Überschneidungen zwischen ScheinbeschĂ€ftigungen nordkoreanischer IT-Worker und DeceptiveDevelopment. Festgehalten sind Fake-IdentitĂ€ten, Proxy-Interviews, KI-gestĂŒtzte Bildmanipulation und Gesichtswechsel in Echtzeit. Zahlungen aus solchen BeschĂ€ftigungen dienen als Einnahmequelle, zusĂ€tzlich werden interne Daten abgegriffen. Die Zielauswahl verschiebt sich zunehmend nach Europa.

Weitere Informationen finden Sie im Blogbeitrag "Vom primitiven Krypto-Diebstahl zum raffinierten KI-basierten Betrug ( https://www.welivesecurity.com/de/eset-research/vom-primitiven-krypto-diebstahl-zum-raffinierten-ki-basierten-betrug ) ".

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Michael Klatte Tel.: +49 (0) 3641-3114-257 E-Mail: michael.klatte@eset.de Website: www.eset.de

@ pressetext.de
Mach mehr aus deinem Geld: Erfahre live und kostenlos, welche Strategien am besten funktionieren. Jetzt anmelden.