Cyberspionage REF9403: Nordkorea stiehlt Krypto-Vermögen von Entwicklern
Veröffentlicht: 19.07.2026 um 00:41 Uhr, Redaktion boerse-global.de
Unter dem Namen REF9403 stehlen nordkoreanische Hacker Zugangsdaten und Krypto-Vermögenswerte von Softwareentwicklern.
Steganografie in Flaggenbildern umgeht Sicherheitsscanner
Die Angreifer verstecken bösartigen Code in den Kommentarblöcken von SVG-Dateien. Die Bilder sind optisch als Nationalflaggen getarnt. Zum Zeitpunkt der Entdeckung erzielte die Methode eine Erkennungsrate von Null bei gÀngigen Antiviren-Programmen.
Die Kampagne lĂ€uft unter dem Namen âContagious Interview". Die Hacker kontaktieren potenzielle Opfer ĂŒber Plattformen wie Slack und laden sie zu gefĂ€lschten technischen PrĂŒfungen ein. In einem dokumentierten Fall vom 26. Mai 2026 wurde der Angriff ĂŒber den Slack-Kanal eines Sicherheitsunternehmens gestartet.
Die Betroffenen erhalten prÀparierte Archive wie die Datei next-ecommerce-private-main.zip. Diese enthalten die schÀdlichen Bilddateien und Skripte.
OTTERCOOKIE-Malware mit umfangreichen Diebstahl-Funktionen
FĂŒhrt ein Entwickler die Coding-Challenges in seiner Arbeitsumgebung aus, aktiviert sich die vierstufige Malware-Payload OTTERCOOKIE. Die Schadsoftware exfiltriert systematisch sensible Daten:
- Browser-Zugangsdaten und Cookies
- Krypto-Wallets und MetaMask-Credentials
- Konfigurationsdateien von KI-Tools wie Claude, Cursor und Gemini
- Zwischenablage-Inhalte (Clipboard-Stealer)
- Remote Access Trojaner (RAT) mit Socket.IO-Kommunikation
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen durch tĂ€uschend echte Phishing-Methoden. Experten erklĂ€ren in diesem kostenlosen E-Book, wie Sie SicherheitslĂŒcken proaktiv schlieĂen und Ihr Unternehmen wirksam absichern. Kostenlosen Cyber-Security-Ratgeber jetzt anfordern
Die gestohlenen Daten landen auf einer Infrastruktur mit der Domain ldb.rightwidth[.]dev. Sicherheitsexperten identifizierten zudem IP-Adressen in Deutschland und anderen Regionen, die mit der Kampagne verbunden sind.
Nordkoreanische AktivitÀten im Krypto-Sektor nehmen zu
Die aktuelle Entdeckung reiht sich in eine Serie von VorfĂ€llen ein. Im FrĂŒhjahr 2026 war ein nordkoreanischer Entwickler unter dem Pseudonym Tyler Knapp etwa einen Monat als Berater bei Consensys tĂ€tig. Er hatte Zugriff auf den Kerncode der MetaMask-Wallet, bevor ihm der Zugang im April 2026 entzogen wurde.
Gruppen wie Kimsuky oder UNC1069 entwickeln ihre Methoden stetig weiter. Kimsuky nutzt vermehrt Spear-Phishing ĂŒber OneDrive-Links fĂŒr AufklĂ€rungszwecke. Andere Gruppen setzen auf Deepfakes und kompromittierte Telegram-Konten.
Ob CEO-Fraud oder manipulierte Bewerbungsunterlagen â die psychologischen Taktiken der Hacker werden immer raffinierter. Dieser neue Gratis-Report enthĂŒllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Sie Angriffe rechtzeitig entlarven. Anti-Phishing-Paket kostenlos herunterladen
Aktuelle Berichte bringen nordkoreanische Akteure mit einem Hack des Humanity Protocols in Verbindung. Mitte Juli 2026 entstand dabei ein Schaden von rund 36 Millionen US-Dollar.
Sicherheitsexperten raten Unternehmen und freien Entwicklern: Code aus Bewerbungsverfahren gehört ausschlieĂlich in isolierte Umgebungen. Die Malware ist gezielt darauf ausgelegt, lokale Konfigurationsdateien und Browser-Sitzungen zu kompromittieren. Die AusfĂŒhrung auf produktiven Systemen ist ein erhebliches Risiko.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Ănderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.
