Cyberspionage, REF9403

Cyberspionage REF9403: Nordkorea stiehlt Krypto-Vermögen von Entwicklern

Veröffentlicht: 19.07.2026 um 00:41 Uhr, Redaktion boerse-global.de

Elastic Security deckt Kampagne auf: Hacker nutzen getarnte SVG-Dateien und gefÀlschte Coding-Challenges zur Datenexfiltration.

Nordkoreanische Hacker stehlen Krypto-Daten von Entwicklern
Eine digitalisierte nordkoreanische Flagge mit feinen Codezeilen, die versteckte Malware in einer Bilddatei andeuten. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Unter dem Namen REF9403 stehlen nordkoreanische Hacker Zugangsdaten und Krypto-Vermögenswerte von Softwareentwicklern.

Steganografie in Flaggenbildern umgeht Sicherheitsscanner

Die Angreifer verstecken bösartigen Code in den Kommentarblöcken von SVG-Dateien. Die Bilder sind optisch als Nationalflaggen getarnt. Zum Zeitpunkt der Entdeckung erzielte die Methode eine Erkennungsrate von Null bei gÀngigen Antiviren-Programmen.

Die Kampagne lĂ€uft unter dem Namen „Contagious Interview". Die Hacker kontaktieren potenzielle Opfer ĂŒber Plattformen wie Slack und laden sie zu gefĂ€lschten technischen PrĂŒfungen ein. In einem dokumentierten Fall vom 26. Mai 2026 wurde der Angriff ĂŒber den Slack-Kanal eines Sicherheitsunternehmens gestartet.

Die Betroffenen erhalten prÀparierte Archive wie die Datei next-ecommerce-private-main.zip. Diese enthalten die schÀdlichen Bilddateien und Skripte.

OTTERCOOKIE-Malware mit umfangreichen Diebstahl-Funktionen

FĂŒhrt ein Entwickler die Coding-Challenges in seiner Arbeitsumgebung aus, aktiviert sich die vierstufige Malware-Payload OTTERCOOKIE. Die Schadsoftware exfiltriert systematisch sensible Daten:

  • Browser-Zugangsdaten und Cookies
  • Krypto-Wallets und MetaMask-Credentials
  • Konfigurationsdateien von KI-Tools wie Claude, Cursor und Gemini
  • Zwischenablage-Inhalte (Clipboard-Stealer)
  • Remote Access Trojaner (RAT) mit Socket.IO-Kommunikation
Anzeige

Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen durch tĂ€uschend echte Phishing-Methoden. Experten erklĂ€ren in diesem kostenlosen E-Book, wie Sie SicherheitslĂŒcken proaktiv schließen und Ihr Unternehmen wirksam absichern. Kostenlosen Cyber-Security-Ratgeber jetzt anfordern

Die gestohlenen Daten landen auf einer Infrastruktur mit der Domain ldb.rightwidth[.]dev. Sicherheitsexperten identifizierten zudem IP-Adressen in Deutschland und anderen Regionen, die mit der Kampagne verbunden sind.

Nordkoreanische AktivitÀten im Krypto-Sektor nehmen zu

Die aktuelle Entdeckung reiht sich in eine Serie von VorfĂ€llen ein. Im FrĂŒhjahr 2026 war ein nordkoreanischer Entwickler unter dem Pseudonym Tyler Knapp etwa einen Monat als Berater bei Consensys tĂ€tig. Er hatte Zugriff auf den Kerncode der MetaMask-Wallet, bevor ihm der Zugang im April 2026 entzogen wurde.

Gruppen wie Kimsuky oder UNC1069 entwickeln ihre Methoden stetig weiter. Kimsuky nutzt vermehrt Spear-Phishing ĂŒber OneDrive-Links fĂŒr AufklĂ€rungszwecke. Andere Gruppen setzen auf Deepfakes und kompromittierte Telegram-Konten.

Anzeige

Ob CEO-Fraud oder manipulierte Bewerbungsunterlagen – die psychologischen Taktiken der Hacker werden immer raffinierter. Dieser neue Gratis-Report enthĂŒllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Sie Angriffe rechtzeitig entlarven. Anti-Phishing-Paket kostenlos herunterladen

Aktuelle Berichte bringen nordkoreanische Akteure mit einem Hack des Humanity Protocols in Verbindung. Mitte Juli 2026 entstand dabei ein Schaden von rund 36 Millionen US-Dollar.

Sicherheitsexperten raten Unternehmen und freien Entwicklern: Code aus Bewerbungsverfahren gehört ausschließlich in isolierte Umgebungen. Die Malware ist gezielt darauf ausgelegt, lokale Konfigurationsdateien und Browser-Sitzungen zu kompromittieren. Die AusfĂŒhrung auf produktiven Systemen ist ein erhebliches Risiko.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69798838 |