Cyberkriminelle nehmen Softwareentwickler ins Visier
Softwareentwickler werden zum Ziel einer aktuellen Cyberangriffswelle, vor der das Sicherheitsunternehmen Eset jetzt warnt. Besonders gefährdet sind freiberufliche Entwickler, die im Bereich der Kryptowährungen und dezentralen Finanzsysteme (DeFi) arbeiten.
Foto: panthermedia.net/ aetb
Die Angreifer setzen dabei auf eine Kombination aus Social Engineering, getarnten Schadprogrammen und langwierigen Infiltrationsstrategien, um ihre Opfer, in den meisten Fällen freiberuflich tätige Entwickler, zu kompromittieren. Die Opfer bearbeiten häufig Open-Source-Projekte oder beschäftigen sich mit der Programmierung im Kryptobereich. Die Angriffe sind nicht auf eine bestimmte Plattform beschränkt, sondern adressieren verschiedene Betriebssysteme wie Windows, Linux und MacOS.
Die Cyberkriminellen hinter der Angriffswelle mit dem Namen „DeceptiveDevelopment“ geben sich als Headhunter oder potenzielle Auftraggeber aus. Sie treten professionell auf, kontaktieren ihre Opfer gezielt über Freelancer-Plattformen oder soziale Netzwerke und machen vermeintlich attraktive Arbeitsangebote. Die freiberuflich tätigen Entwickler erhalten daraufhin vermeintliche Testaufgaben oder kleinere Auftragsarbeiten, die angeblich Teil eines Bewerbungsprozesses oder einer Projektbewertung sind. Diese Aufgaben beinhalten die Bearbeitung oder Integration von Funktionen in Open-Source-Projekte, die auf Plattformen wie Github gehostet werden. Was die Entwickler jedoch nicht ahnen: Die ihnen bereitgestellten Dateien enthalten Schadsoftware, die mit ihrem System interagiert, sobald sie diese herunterladen und ausführen.
Die Malware wird gestreut
Die Hacker verwenden speziell entwickelte Malware, die sich geschickt in den Programmcode der vermeintlichen Testaufgaben einschleicht. Die Malware „Beavertail“ wird in den Quellcode der zu bearbeitenden Software injiziert. Sie ist so konzipiert, dass sie sich gut tarnt und für den Entwickler auf den ersten Blick wie ein normaler Bestandteil des Projekts aussieht. Besonders perfide: Die Schadsoftware kann sich in harmlosen Codekommentaren verstecken, sodass sie erst aktiv wird, wenn der Entwickler bestimmte Anweisungen ausführt. Ist die Malware erst einmal auf einem System installiert, kann sie sensible Daten stehlen, darunter Kryptowährungs-Wallets, Passwörter und andere sicherheitskritische Informationen.
Die Malware mit dem Namen „InvisibleFerret“ ist eine Art Fernbedienung für das befallene System. Die Angreifer können damit nicht nur Daten stehlen, sondern auch eigene Schadprogramme nachladen oder Änderungen am System des Opfers vornehmen. Die Malware funktioniert plattformübergreifend und kann sowohl die Systeme von Windows- als auch MacOS- und Linux-Nutzer befallen.
Laut den Eset-Sicherheitsforschern gibt es Hinweise darauf, dass die Urheber der aktuellen Angriffswelle aus Nordkorea oder angrenzenden Regionen stammen. Es wurden Verbindungen zu bekannten nordkoreanischen Hackergruppen festgestellt, die in der Vergangenheit bereits Angriffe auf Kryptowährungsplattformen, Finanzdienstleister und Entwickler durchgeführt haben. Auch die gefälschten Freelancer-Profile, die in den Angriffen eingesetzt werden, lassen offenbar auf die Beteiligung nordkoreanischer Akteure schließen. Diese Profile geben sich als hoch qualifizierte IT-Experten aus, die auf Freelancer-Plattformen Kunden akquirieren. Sie seien jedoch Teil eines organisierten Netzwerks, das darauf abziele, westliche Unternehmen und Einzelpersonen auszuspionieren und finanziell zu schädigen.
Deshalb sind Softwareentwickler betroffen
Softwareentwickler ins Visier zu nehmen, scheint eine bewusste Entscheidung der Cyberkriminellen zu sein. Die Entwickler haben oft Zugriff auf sensible Systeme und besitzen tiefgehendes Wissen über die Sicherheitsstrukturen der von ihnen betreuten Plattformen. Besonders im Bereich der Kryptowährungen sind Entwickler ein lohnendes Ziel, da sie Zugang zu wichtigen digitalen Ressourcen haben. Viele von ihnen arbeiten mit API-Schlüsseln, kryptografischen Zertifikaten oder direkten Zugangsdaten zu Blockchain-Plattformen. Fällt ein solcher Entwickler einem Angriff zum Opfer, können die Cyberkriminellen diese Daten nutzen, um unbefugt auf sensible Informationen zuzugreifen und Geld zu entwenden. Neben einzelnen Entwicklern ist die gesamte Open-Source-Community betroffen. Viele dieser Entwickler arbeiten an quelloffenen Projekten, die von Unternehmen und Einzelpersonen auf der ganzen Welt genutzt werden. Wird ein solches Projekt kompromittiert, kann die Schadsoftware unbemerkt auf zahlreiche andere Systeme übergreifen.
Wie sich Softwareentwickler schützen können
Um sich gegen die aktuelle Angriffswelle zu schützen, sollten Softwareentwickler einige grundlegende Sicherheitsmaßnahmen beachten. So sollten vor allem freiberuflich tätige Entwickler skeptisch sein, wenn sie von unbekannten Personen kontaktiert werden, die ihnen hohe Summen für vermeintlich einfache Aufgaben bieten. Wenn die Arbeit an einem Projekt startet, sollten Programmierer den zugrunde liegenden Quellcode sorgfältig prüfen. Vor allem Code, der von unbekannten Quellen stammt, sollte immer genau analysiert und in einer sicheren Umgebung getestet werden. Darüber hinaus raten die Sicherheitsforscher Entwicklern unter anderem dazu API-Schlüssel, Wallet-Adressen oder andere sicherheitsrelevante Informationen nicht ungeschützt weiterzugeben.
