Nordkoreanische Hackergruppe Lazarus setzt LinkedIn ein, um Krypto zu stehlen

Die nordkoreanische Hackergruppe namens Lazarus nutzt LinkedIn, um gezielte Malware-Angriffe auf Benutzer durchzuführen und deren Krypto-Vermögen zu stehlen. Dies wurde bekannt, nachdem das Blockchain-Sicherheitsunternehmen SlowMist aufdeckte, dass sich die Hacker als Arbeitssuchende in der Kryptowährungsindustrie ausgaben, insbesondere interessiert an Rollen als Blockchain-Entwickler.

Code mit bösartigen Elementen

Laut SlowMist nähern sich die Hacker potenziellen Opfern mit der Bitte um Zugang zu Code-Repositories, angeblich um relevanten Code auszuführen. Dieser Code enthält jedoch bösartige Elemente, die darauf ausgelegt sind, vertrauliche Informationen und Vermögenswerte zu stehlen.

Die Lazarus-Gruppe wendet diese Strategie schon länger an; im Dezember 2023 gaben sie sich beispielsweise als Recruiter von Meta aus. Sie kontaktierten Opfer über LinkedIn und forderten sie auf, zwei Codierungsaufgaben herunterzuladen, als Teil des Einstellungsverfahrens. Diese Dateien enthielten Malware, die, einmal auf Arbeitscomputern ausgeführt, ein Trojanisches Pferd installierte, das externen Zugriff ermöglichte.

Kriminelle Aktivitäten zeigen ein breiteres Muster

Diese Angriffe sind nur ein Teil eines breiteren Musters krimineller Aktivitäten durch Lazarus, die seit ihrem ersten Auftreten im Jahr 2009 bereits mehr als 3 Milliarden Dollar an Krypto-Vermögen gestohlen haben. Die Gruppe nutzt auch Kryptomixdienste, um die gestohlenen Gelder nach Nordkorea zu schleusen, wo sie vermutlich verwendet werden, um militärische Operationen zu finanzieren.

Krypto-Börsen wie Huobi und Binance haben Maßnahmen ergriffen, um solche Gelder zu blockieren; im Februar 2023 froren sie gemeinsam Vermögenswerte im Wert von 1,4 Millionen Dollar ein, die mit Nordkorea in Verbindung standen. Diese Aktionen unterstreichen die anhaltende Bedrohung, die Lazarus für den Kryptosektor darstellt, und die Notwendigkeit erhöhter Wachsamkeit innerhalb der Branche.