Sicherheitsorganisation SlowMist hat eine dringende Warnung veröffentlicht: Die nordkoreanische Lazarus-Gruppe greift über die Unterorganisation HexagonalRodent Web3-Entwickler an. Dabei werden über Social-Engineering-Methoden wie hoch dotierte Remote-Stellen Entwickler dazu verleitet, Skill-Bewertungscode auszuführen, der unter anderem einen bösartigen Software-Backdoor enthält. Anschließend werden Krypto-Assets gestohlen. Laut dem Untersuchungsbericht von Expel belief sich der Schaden in den ersten drei Monaten des Jahres 2026 auf 12,0 Millionen US-Dollar.
Angriffsmethode: Skill-Bewertungscode ist der wichtigste Infektions-Einstiegspunkt
Die Angreifer nehmen zunächst Kontakt mit den Zielen auf, entweder über LinkedIn oder Job-Plattformen, oder sie erstellen gefälschte Unternehmenswebsites, auf denen Stellenangebote veröffentlicht werden. Unter dem Vorwand „Home-Office-Skill-Bewertung“ lassen sie Entwickler bösartigen Code ausführen. Der Bewertungscode enthält zwei Infektionswege:
VSCode tasks.json-Angriff: Der bösartige Code injiziert in die tasks.json-Datei mit der Direktive „runOn: folderOpen“, sodass der Entwickler im Grunde nur den Codeordner in VSCode öffnen muss, woraufhin die Schadsoftware automatisch ausgeführt wird.
Im Code eingebauter Backdoor: Der Bewertungscode selbst ist mit einer Backdoor versehen. Beim Ausführen des Codes wird die Infektion ausgelöst; dies dient als alternativer Einstiegspunkt für Entwickler, die kein VSCode verwenden.
Verwendete Schadsoftware umfasst: BeaverTail (NodeJS-Multifunktions-Exfiltrations-Tool), OtterCookie (NodeJS Reverse Shell) und InvisibleFerret (Python Reverse Shell).
Erster Supply-Chain-Angriff: fast-draft VSX-Erweiterung kompromittiert
Am 18. März 2026 führte HexagonalRodent einen Supply-Chain-Angriff gegen die VSCode-Erweiterung „fast-draft“ durch und verbreitete über die kompromittierte Erweiterung die bösartige Software OtterCookie. SlowMist bestätigt: Am 9. März 2026 wurde ein Nutzer, der denselben Namen wie ein Entwickler der fast-draft-Erweiterung trägt, von OtterCookie infiziert.
Bei Verdacht, dass das System bereits infiziert ist, können die folgenden Befehle prüfen, ob eine Verbindung zu bekannten C2-Servern besteht (195.201.104[.]53):
MacOS/Linux:netstat -an | grep 195.201.104.53
Windows:netstat -an | findstr 195.201.104.53
Missbrauch von KI-Tools: ChatGPT und Cursor wurden als bösartig genutzt bestätigt
HexagonalRodent nutzt in großem Umfang ChatGPT und Cursor zur Unterstützung von Angriffen, einschließlich der Erstellung von bösartigem Code und dem Aufbau von gefälschten Unternehmenswebsites. Ein entscheidendes Erkennungsmerkmal für von KI generierten bösartigen Code ist der umfangreiche Einsatz von Emojis im Code (in handgeschriebenem Code äußerst selten).
Cursor hat die betreffenden Konten und IPs innerhalb eines Arbeitstags gesperrt; OpenAI bestätigte, dass eine eingeschränkte Nutzung von ChatGPT entdeckt wurde. Dabei handelt es sich um doppeldeutige Nutzungsszenarien, bei denen die Unterstützung dieser Konten zu legitimen Sicherheits-Anwendungsfällen gehört; es wurden keine fortlaufenden Aktivitäten zur Entwicklung von Schadsoftware festgestellt. Es wurde bestätigt, dass mindestens 13 infizierte Wallets Gelder an bekannte nordkoreanische Ethereum-Adressen gesendet haben, mit insgesamt über 1,1 Millionen US-Dollar.
Häufige Fragen
Wie können Web3-Entwickler sich vor solchen Angriffen schützen?
Zu den zentralen Schutzmaßnahmen gehören: (1) hohe Wachsamkeit gegenüber unbekannten Arbeitgebern/Recruitern, insbesondere gegenüber Gelegenheiten, bei denen Home-Office-Code-Bewertungen abverlangt werden; (2) das Öffnen unbekannter Code-Repositories eher in einer Sandbox- als im Hauptsystem; (3) regelmäßige Überprüfung der VSCode-Datei tasks.json, um sicherzustellen, dass keine nicht autorisierten Aufgaben mit „runOn: folderOpen“ vorhanden sind; (4) Nutzung von Hardware-Sicherheits-Keys zum Schutz von Krypto-Wallets.
Wie kann ich feststellen, ob mein System infiziert ist?
Führen Sie die Schnell-Selbstcheck-Befehle aus: Für MacOS/Linux-Nutzer netstat -an | grep 195.201.104.53, für Windows-Nutzer netstat -an | findstr 195.201.104.53. Wenn Sie eine dauerhafte Verbindung zu bekannten C2-Servern feststellen, sollten Sie sofort die Netzwerkverbindung trennen und einen umfassenden Malware-Scan durchführen.
Warum wählt HexagonalRodent NodeJS und Python als Sprachen für die Schadsoftware?
Web3-Entwickler haben in der Regel NodeJS und Python bereits auf ihrem System installiert. Dadurch können bösartige Prozesse sich in normale Entwickleraktivitäten einfügen, ohne Alarm auszulösen. Diese beiden Sprachen gehören nicht zu den Haupt-Überwachungsobjekten traditioneller Anti-Malware-Systeme; zusammen mit der Nutzung kommerzieller Code-Obfuskations-Tools macht dies die Signaturerkennung äußerst schwierig.
