Nordkoreanische Hacker attackierten über 3.100 IP-Adressen mit Verbindungen zu KI, Krypto und Finanzen mithilfe gefälschter Vorstellungsgespräche

Nachdem nordkoreanische Hacker im Jahr 2025 bereits über 2 Milliarden Dollar aus dem Kryptomarkt erbeutet hatten, sind sie nun mit einer gefälschten Stellenausschreibungskampagne zurück, die von einer Gruppe namens PurpleBravo durchgeführt wird.

Laut neuen Erkenntnissen der Insikt Group von Recorded Future haben Hacker mit Verbindungen zu Nordkorea eine Cyber-Spionageaktion gegen mehr als 3.100 Internetadressen gestartet, die mit Unternehmen aus den Bereichen künstliche Intelligenz, Kryptowährung und Finanzdienstleistungen in Verbindung stehen. 

PurpleBravo wurde dabei beobachtet, wie es betrügerische Stellenbeschaffungsprozesse und mit Schadsoftware versehene Entwicklertools einsetzte. Laut Einschätzung der Insikt Group wurden bisher 20 betroffene Organisationen in Südasien, Nordamerika, Europa, dem Nahen Osten und Mittelamerikadent. 

Nordkorea startet Malware-Kampagne mit gefälschten Rekrutierungsgesprächen 

Wie erklärt , handelt es sich bei der Kampagne „Contagious Interview“ um eine Masche von Betrügern, die sich als Personalvermittler oder Entwickler ausgeben und Jobsuchende mit technischen Interviewübungen konfrontieren. Laut den Sicherheitsanalysten wurden im Überwachungszeitraum mindestens 3.136 einzelne IP-Adressen angegriffen.

Die Angreifer gaben sich als Vertreter von Krypto- und Technologieunternehmen aus und forderten die Kandidaten auf, Code zu überprüfen, Repositories zu klonen oder Programmieraufgaben zu erledigen. 

„In mehreren Fällen ist es wahrscheinlich, dass Bewerber auf Firmengeräten bösartigen Code ausgeführt haben, wodurch über das individuelle Ziel hinausgehende organisatorische Risiken entstanden sind“, schrieb das Unternehmen für Bedrohungsanalysen in seinem Bericht.

Die Operation hat mehrere Aliasnamen in privaten und öffentlich zugänglichen Informationen über nordkoreanische Hacker, darunter CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi und WaterPlum. 

Die Cybersicherheitsgruppe erwähnte außerdem, dass die Hacker Astrill VPN und IP-Adressbereiche nutzten, um in China ansässige Command-and-Control-Server zu verwalten. Gleichzeitig hosteten 17 Dienstanbieter Server für Schadsoftware wie BeaverTail und GolangGhost.

Opfer mit falschen Identitäten, GitHub und ukrainischen Deckgeschichten in die Falle locken

Die Insikt Group entdeckte vier Online-Identitäten, die mit PurpleBravo in Verbindung stehen, im Zuge einer Untersuchung bösartiger GitHub -Repositories, Diskussionen in sozialen Medien über Kryptobetrug und eines Hackernetzwerk-Informationsdienstes.

Dem Bericht zufolge gaben diese Profile stets an, in Odessa, Ukraine, ansässig zu sein, und zielten dabei auf Arbeitssuchende aus Südasien ab. Insikt erklärte, es könne nicht feststellen, warum ukrainischedentfür diese Täuschung verwendet wurden. 

In einem der gefälschten Programme nutzten Hacker eine Website, die für einen Token warb, der auf einer Lebensmittelmarke basierte. Forscher konnten jedoch keine verifizierte Verbindung zwischen dem Token und dem genannten Unternehmen herstellen. Betrüger, automatisierte Bots und schädliche Links tummeln sich im offiziellen Telegram-Kanal des Projekts. 

Darüber hinaus umfasste die Operation auch zwei verwandte Remote-Access-Trojaner, PylangGhost und GolangGhost. Diese Malware-Familien sind plattformübergreifende Tools, diedentBefehle verwenden und den Diebstahl von Browser-dentund Cookies automatisieren.

GolangGhost ist mit mehreren Betriebssystemen kompatibel, PylangGhost hingegen funktioniert nur auf Windows-Systemen und kann ab Version 127 den anwendungsgebundenendentvon Chrome umgehen.

Die Insikt Group entdeckte Telegram-Kanäle, in denen LinkedIn- und Upwork-Konten zum Verkauf angeboten wurden. Die Verkäufer nutzten Proxy-Dienste wie proxy-seller[.]com, powervps[.]net,dent[.]com, lunaproxy[.]com und sms-activate[.]io sowie virtuelle private Server, um ihre Standorte zu verschleiern. Der Betreiber interagierte außerdem mit der Kryptowährungshandelsplattform MEXC Exchange.

VS Code-Hintertüren in Microsoft Visual Studio

Am Montag berichtete Jamf Threat Labs, dass Akteure mit Verbindungen zu Nordkorea eine präparierte Version von Microsoft Visual Studio Code entwickelt haben, die Hintertüren in Systemen aufspüren kann. Diese Taktik wurde erstmals im Dezember 2025dentund seitdem weiterentwickelt, so die Sicherheitsanalysten.

Laut Jamf-Sicherheitsforscher Thijs Xhaflaire können Angreifer Schadsoftware einschleusen, die die Ausführung von Code auf Rechnern aus der Ferne ermöglicht. Die Infektionskette beginnt, wenn ein Zielsystem ein manipuliertes Git-Repository klont und es in VS Code öffnet.

„Beim Öffnen des Projekts fordert Visual Studio Code den Benutzer auf, dem Repository-Autor zu vertrauen. Wird dieses Vertrauen gewährt, verarbeitet die Anwendung automatischmaticThijs Xhaflaire schrieb.