ESET warnt vor "DeceptiveDevelopment": Scheinjobs treffen Entwickler der Krypto- und Web3-Branche in Europa
Nordkoreanische IT-Arbeitskräfte betreiben hoch professionelles Fake-Recruiting
 |
(Foto: ESET) |
Jena (pts018/25.09.2025/14:30)
Neu ist die Idee von Scheinjobs nicht, mit denen nordkoreaverbundene Hackergruppen Entwickler neuerdings auch in Europa übertölpeln wollen. Überraschend ist hingegen die hoch professionelle, technisch versierte Vorgehensweise und das Tempo, mit denen "DeceptiveDevelopment" Entwickler aus der Krypto- und Web3-Branche angreift. Nach Erkenntnissen des IT-Sicherheitsherstellers ESET geben sich die Täter als Recruiter aus und verschicken seriös wirkende Bewerbungsaufgaben. Ziel sind Geld und Zugänge wie beispielsweise Krypto-Vermögen, Wallet-Schlüssel, Entwicklerkonten und Cloud-Tokens.
Für die Attacken nutzen die Hacker die Social-Engineering-Methode namens ClickFix, die sie angepasst und optimiert haben. Die Opfer werden auf eine gefälschte Website für Vorstellungsgespräche gelockt und gebeten, ein detailliertes Bewerbungsformular auszufüllen. Das an sich kostet viel Zeit und Mühe. Im letzten Schritt werden sie aufgefordert, eine Videoantwort aufzunehmen. Die manipulierte Website zeigt einen vorgetäuschten Kamerafehler und fordert die Nutzer mit dem Hinweis "So beheben Sie das Problem" zum Handeln auf. Per Klick öffnet sich eine Anleitung, die zum Ausführen eines Terminalbefehls auffordert – angeblich zur Behebung von Kamera- oder Mikrofonstörungen. Tatsächlich aber lädt der Befehl Schadsoftware nach, die sich zusammen mit verstecktem Code in den Bewerbungsaufgaben aktiviert. Eine detaillierte Analyse haben die ESET-Experten auf www.welivesecurity.de veröffentlicht.
Was daran neu und warum es jetzt relevant ist
ESET weist DeceptiveDevelopment als eigenständige Gruppe mit klarem Werkzeugkasten aus. Zusätzlich hat der europäische Sicherheitshersteller öffentlich verfügbare OSINT-Daten ("Open Source Intelligence") ausgewertet, die die Verbindung zu nordkoreanischen IT-Arbeitskräften in betrügerischen Beschäftigungsmodellen zeigen. Dokumentiert sind gefälschte Identitäten, manipulierte Profilfotos und Gesichtswechsel in Videointerviews. Auffällig ist die Verlagerung nach Europa. Genannt werden unter anderem Frankreich, Polen, die Ukraine und Albanien.
"Die Angreifer setzen weniger auf spektakuläre Exploits und mehr auf Glaubwürdigkeit und Geschwindigkeit", sagt Peter Kálnai aus dem ESET Research Team. "Gute Profile, plausible Projekte und am Ende ein kurzer Befehl genügen, um selbst erfahrene Entwickler auszutricksen."
Wen es trifft
Im Fokus stehen Entwickler und Teams aus der Krypto- und Web3-Branche, die zum Beispiel an Blockchains, Smart Contracts, Wallets oder Krypto-Börsen arbeiten. Gefährdet sind auch Recruiter und Personalabteilungen, die remote rekrutieren oder Coding-Aufgaben vergeben. Die eingesetzten Schadprogramme sind für Windows, Linux und macOS ausgelegt.
So schützen sich Recruiter und Bewerber
- Identitäten prüfen. Profile, Referenzen und Firmendaten abgleichen. Aufgaben aus privaten Git-Repositories nur in abgesicherten Testumgebungen öffnen.
- Keine Befehle aus dem Web kopieren. Terminal- oder PowerShell-Befehle nie blind übernehmen. Bei angeblichen Kamera- oder Login-Fehlern die eigene IT einbinden. Genau hier greift der ClickFix-Trick.
- Tokens und Zugänge trennen. Für Testaufgaben keine Produktivschlüssel verwenden. Zugangsdaten und Wallets strikt separieren.
- Erkennung und Reaktion stärken. EDR oder XDR einsetzen, Protokolle zentral auswerten, Alarme und Playbooks festlegen und regelmäßig testen.
- Recruiting absichern. Videointerviews mit Echtheitsprüfungen, klare Freigaben, Vier-Augen-Prinzip. Bei Verdacht Prozesse stoppen und melden.
Zusätzliche Fachinformationen
Taktik und Ablauf
Die Ansprache erfolgt über LinkedIn, Upwork, Freelancer und Crypto Jobs List. Die Aufgaben kommen aus privaten GitHub-, GitLab- oder Bitbucket-Repositories. Darin steckt trojanisierter Code. Zusätzlich nutzen die Täter ClickFix. Eine gefälschte Seite liefert eine Fehlermeldung und einen kurzen Textbefehl. Wer den Befehl in die Konsole kopiert, lädt die Malware nach.
Werkzeuge und Ziele
Typische Komponenten sind die Infostealer BeaverTail, OtterCookie und WeaselStore sowie der modulare Remotezugriff InvisibleFerret. Ergänzend tritt TsunamiKit als Toolkette auf. In der Backdoor-Linie zeigt Tropidoor Codeüberschneidungen mit PostNapTea aus dem Lazarus-Umfeld. Das Primärziel ist der Diebstahl finanzieller Werte und Zugänge. Die Aktivitäten laufen plattformübergreifend auf Windows, macOS und Linux.
OSINT-Befunde zu nordkoreanischen IT-Arbeitskräften
ESET beschreibt Überschneidungen zwischen Scheinbeschäftigungen nordkoreanischer IT-Worker und DeceptiveDevelopment. Festgehalten sind Fake-Identitäten, Proxy-Interviews, KI-gestützte Bildmanipulation und Gesichtswechsel in Echtzeit. Zahlungen aus solchen Beschäftigungen dienen als Einnahmequelle, zusätzlich werden interne Daten abgegriffen. Die Zielauswahl verschiebt sich zunehmend nach Europa.
Weitere Informationen finden Sie im Blogbeitrag "Vom primitiven Krypto-Diebstahl zum raffinierten KI-basierten Betrug".
(Ende)| Aussender: | ESET Deutschland GmbH |
| Ansprechpartner: | Michael Klatte |
| Tel.: | +49 (0) 3641-3114-257 |
| E-Mail: | michael.klatte@eset.de |
| Website: | www.eset.de |
