In der Welt der Kryptowährungen besteht ein zunehmendes Gefahrenpotenzial durch gezielte Cyberangriffe, insbesondere von staatlich unterstützten Hackergruppen. Eine der aktuell gefährlichsten Gruppierungen ist Slow Pisces, ein nordkoreanischer Hackerverbund, der in einer neuen Welle von Cyberattacken vor allem Crypto-Entwickler über die berufliche Netzwerkplattform LinkedIn ins Visier nimmt. Dabei werden Infostealer, eine Art Schadsoftware, genutzt, die sensible Daten von infizierten Geräten ausspäht und an die Angreifer übermittelt. Diese gezielte Attacke offenbart nicht nur ausgeklügelte Techniken, sondern auch eine alarmierende Entwicklung der Bedrohungslandschaft für Entwickler und Unternehmen im Krypto-Segment. Slow Pisces, eine Untereinheit der nordkoreanischen Hacker-Szene, hat im Verlauf des Jahres 2024 seine Attacken konkret ausgebaut und an die Besonderheiten der Zielgruppe angepasst.
Die Gruppe tarnt sich als Personalvermittler auf LinkedIn, einer der größten Plattformen zur Vernetzung professioneller Fachkräfte. Über gefälschte Profile nehmen die Angreifer Kontakt zu Entwicklern auf, die entweder an Frontend-, Backend- oder Full-Stack-Projekten rund um Kryptowährungen oder verwandte Technologien arbeiten. Der in sechs Schritten angelegte Taktikplan der Hacker beginnt mit der Zusendung scheinbar harmloser PDF-Dokumente, die eine Stellenbeschreibung oder eine Einladung zu einer Bewerbung im Kryptobereich enthalten. Die erhaltenen PDFs dienen als Lockmittel, um das Interesse der Entwickler zu wecken und eine Interaktion zu provozieren. Sobald der Entwickler Interesse zeigt und sich auf eine vermeintliche Job-Challenge einlässt, wird die eigentliche Falle ausgelöst: Die Hacker schicken codierte Programmieraufgaben in Form von sogenannten Coding Challenges, die Aufgaben enthalten, welche auf öffentlich zugängliche Open-Source-Projekte verlinken – insbesondere auf GitHub-Repositorien.
Die vermeintlichen Aufgaben in den Repositories sind clever konstruiert. Sie verwenden legitime Quellcodes, die Daten wie Aktienmarktinformationen, Sportstatistiken oder Wetterberichte auswerten, vermischt mit eingebetteten schädlichen Komponenten. Diese verschleierten Malware-Module werden nur bei ausgewählten Opfern aktiviert. Die Hacker überprüfen anhand verschiedener Faktoren wie IP-Adresse, Zeit, geografischer Lage und Browser-Header, ob der jeweilige Nutzer für die Malware-Auslieferung infrage kommt. Unter den eingesetzten Schadprogrammen stechen zwei Neuentwicklungen hervor: RN Loader und RN Stealer.
RN Loader hat die Fähigkeit, Basisinformationen wie das Betriebssystem und die Gerätespezifikationen des Opfers an den Command-and-Control-Server zu senden. Noch gefährlicher ist RN Stealer, ein Infostealer, der gezielt Daten vom infizierten System extrahiert. Auf macOS-Systemen ist RN Stealer darauf ausgelegt, sensible Informationen wie Benutzerdaten, Verzeichnisinhalte, gespeicherte Passwortdaten, SSH-Schlüssel und Konfigurationsdateien für Cloud-Dienste wie AWS oder Kubernetes zu erbeuten. Die Raffinesse dieser Schadsoftware zeigt sich auch in der besonders heimlichen Ausführung: Die Malware existiert nur im Arbeitsspeicher und nutzt komplexe Methoden der Tarnung wie YAML-Deserialisierung und EJS-Funktionseinschleusungen. Dadurch ist eine Analyse durch Antivirenprogramme oder Sicherheitsforscher deutlich erschwert, was die Erkennung und Abwehr zusätzlich verkompliziert.
Slow Pisces ist indes kein unbeschriebenes Blatt. Die Gruppierung hat bereits in den vergangenen Jahren durch verschiedene kriminelle Aktionen auf sich aufmerksam gemacht. Besonders berüchtigt ist der Diebstahl von Kryptowährungen im Wert von über einer Milliarde US-Dollar, der durch gefälschte Trading-Apps, manipulierte Softwarepakete aus dem Node Package Manager und komplexe Supply-Chain-Angriffe ermöglicht wurde. Das Operationsgebiet konzentriert sich vor allem auf die Finanzbranche, insbesondere auf Unternehmen und Einzelpersonen, die mit Kryptowährungen und Handelstechnologien arbeiten. Die Tatsache, dass die Hackergruppe LinkedIn als primäre Angriffsfläche nutzt, macht die Bedrohung besonders heikel für professionelle Entwickler.
LinkedIn wird vielfach als sichere Plattform für berufliche Vernetzung angesehen. Die gezielte Ansprache über LinkedIn erzeugt bei vielen Entwicklern Vertrauen und reduziert die Skepsis gegenüber unerwarteten Kontaktaufnahmen, was die Angriffe umso wirkungsvoller macht. Die Rolle von GitHub als Mittel zur Verbreitung der Schadsoftware betont die Bedeutung von Open-Source-Plattformen und Code-Repositorien im Cyberkrieg der Moderne. Indem bösartige Programme in scheinbar seriöse Entwicklungsprojekte eingebettet werden, zeigen sich neue Angriffsmuster, die auf eine zunehmende Durchdringung legitimer Software-Bereiche abzielen. Die Sicherheitsforscher von Unit 42, dem Forschungsarm von Palo Alto Networks, haben durch detaillierte Analysen herausgefunden, dass Slow Pisces exakte Zielgruppenfilter nutzt und dabei breit gefächerte geografische Merkmale wie Länderzugehörigkeit und IP-Lokation berücksichtigt.
Die Hacker konzentrieren sich auf die gezielte Infektion entwickelt mit einem klaren Motiv: Die Ausspähung firmeneigener und persönlicher Daten, um über diese Informationen Zugang zu Kryptowährungskonten oder kritischen Systemen zu erhalten und Geldflüsse zu stehlen. Ein wichtiger Schluss aus den Untersuchungen ist, dass Kryptowährungsentwickler und Unternehmen eine strikte Trennung zwischen privaten und beruflichen Geräten sicherstellen sollten, um die Gefahr von Social-Engineering-Angriffen zu minimieren. Regierungen und Sicherheitsorganisationen wie das FBI verfolgen zwar aktive Vorgehensweisen gegen die Hackergruppe und konnten bereits diverse Accounts und Schadcode-Repositorien auf LinkedIn und GitHub entfernen, doch die Gefahr bleibt aufgrund der ständig verbesserten Methoden der Angreifer weiterhin bestehen. Die umfassende Bedrohung durch solche staatlich geförderten Hacker setzt Unternehmen und Entwickler unter enormen Druck, Sicherheitsmaßnahmen zeitnah zu implementieren. Dazu gehört neben wachsamem Verhalten auch der Einsatz von mehrschichtigen Sicherheitsarchitekturen, regelmäßigen Schulungen zum Erkennen von Phishing-Angriffen und das kontinuierliche Monitoring von Netzwerkaktivitäten.
Die Angriffe von Slow Pisces stellen damit nicht nur eine Herausforderung für die Sicherheit von Kryptowährungen dar, sondern werfen auch ein Schlaglicht auf weitreichende Gefahren durch gezielte Cyberangriffe auf bestimmte Berufsgruppen. Entwickler, die sich auf Kryptowährungsprojekte spezialisiert haben, müssen sich dieser Risiken bewusst sein und sich regelmäßig über aktuelle Bedrohungen informieren, um ihre Systeme und Daten wirkungsvoll zu schützen. Die Zukunft wird zeigen, ob die Gegenmaßnahmen der IT-Sicherheitsbranche und der betroffenen Unternehmen ausreichen, um den Angriffen staatlich geförderter Cyberkrimineller erfolgreich entgegenzutreten. Die Erkenntnisse rund um die Slow Pisces-Kampagne verdeutlichen, dass die Strategiespiele im Cyberraum immer komplexer werden und dass sowohl technisches Know-how als auch kritisches Bewusstsein essenziell sind, um in einer digitalisierten Welt sicher zu bleiben.
