Shifty Corsair

Nordkoreas Hacker-Offensive eskaliert: Shifty Corsair greift gezielt Entwickler und Krypto-Assets an

, BlueVoyant | Autor: Herbert Wieler

Nordkoreas Hacker-Offensive eskaliert: Shifty Corsair greift gezielt Entwickler und Krypto-Assets an

BlueVoyant analysiert neue Angriffskampagnen der nordkoreanischen Gruppe Shifty Corsair

Nordkoreanische Cyberakteure professionalisieren ihre Angriffe massiv – und Unternehmen weltweit geraten zunehmend ins Visier. Neue Erkenntnisse der Threat Fusion Cell von BlueVoyant zeigen: Die Bedrohungsgruppe Shifty Corsair setzt inzwischen auf hochentwickelte Social-Engineering- und Malware-Kampagnen, die klassische Sicherheitsmechanismen gezielt umgehen. Besonders betroffen sind Entwickler, Open-Source-Umgebungen und der Kryptosektor – mit Angriffsmethoden, die sich kaum noch von legitimen Workflows unterscheiden.

Die Threat Fusion Cell von BlueVoyant hat neue Details zu einer groß angelegten Cyberoffensive der mutmaßlich staatlich unterstützten nordkoreanischen Hackergruppe „Shifty Corsair “ veröffentlicht. Laut den Sicherheitsforschern operiert die Gruppe heute deutlich koordinierter und technisch raffinierter als bislang angenommen.

Während Shifty Corsair in der Vergangenheit vor allem durch Angriffe auf Unternehmen aus dem Kryptoumfeld auffiel, setzen die Angreifer inzwischen auf mehrere parallele Kampagnen mit unterschiedlichen Angriffszielen. Im Fokus stehen dabei gezielte Social-Engineering-Angriffe gegen Entwickler, Unternehmen und Krypto-Enthusiasten.

Zwei parallele Angriffskampagnen identifiziert

Nach Angaben der BlueVoyant-Experten verfolgt die Gruppe aktuell zwei zentrale Strategien.

1. „Sniper“-Kampagne gegen Entwickler und Unternehmen

In der ersten Kampagne nutzen die Angreifer gefälschte Programmiertests, manipulierte GitHub-Repositories und US-amerikanische LLC-Strukturen, um glaubwürdige Spear-Phishing-Angriffe aufzubauen. Ziel ist es, Entwickler dazu zu bringen, trojanisierte Open-Source-Projekte manuell zu klonen und auszuführen. Besonders perfide: Die Schadfunktion wird über absichtlich eingebaute Fehler in Try/Catch-Initialisierungsblöcken ausgelöst. Dadurch wird im Hintergrund eine bösartige Payload nachgeladen, ohne dass Betroffene den Angriff unmittelbar erkennen.

2. „Lure & Trap“-Kampagne gegen den Kryptosektor

Parallel dazu lockt Shifty Corsair insbesondere Krypto-Trader und Web3-Nutzer mit vermeintlich profitablen Trading-Bots. Hinter den Download-Angeboten verbirgt sich jedoch eine mehrstufige Malware-Infektionskette.

Die Sicherheitsforscher sprechen hierbei von einer sogenannten „npm-Matroschka“ – einer verschachtelten Malware-Struktur, die manuelle und automatisierte Codeprüfungen gezielt umgeht. Bereits beim Download eines manipulierten npm-Pakets wird über ein bösartiges Postinstall-Skript Schadcode automatisch ausgeführt.

Malware tarnt sich als legitimer Cloud-Traffic

Laut BlueVoyant setzen die Angreifer auf mehrere Verschleierungsmechanismen, darunter den J2TEAM-Obfuscator, Konstructor-Wrapper sowie spezielle Kodierungsschemata mit rotierenden Alphabetstrukturen. Ziel ist es, statische Sicherheitsanalysen wirkungslos zu machen.

Im weiteren Verlauf der Attacke durchsucht die Malware gezielt sensible Dateien wie:

  • „id.json“ mit Solana-Wallet-Schlüsseln
  • „config.toml“ mit Rust/Cargo-Konfigurationen
  • „.env“-Dateien mit Zugangsdaten und API-Keys

Die gestohlenen Daten werden anschließend an Command-and-Control-Server übertragen, die auf der Cloud-Plattform Vercel gehostet werden. Zusätzlich verwenden die Angreifer Subdomains, die legitime Cloudflare-Dienste imitieren, um ihren Netzwerkverkehr im normalen Cloud-Datenverkehr zu verstecken.

BlueVoyant empfiehlt verschärfte Sicherheitsmaßnahmen

Auf Basis der aktuellen Analyse empfiehlt die Threat Fusion Cell Unternehmen, ihre Sicherheitsrichtlinien für Open-Source-Abhängigkeiten deutlich zu verschärfen. Insbesondere Pakete aus nicht vertrauenswürdigen Quellen sollten konsequent blockiert werden.

Darüber hinaus raten die Experten zu:

  • Multi-Faktor-Authentifizierung (MFA)
  • zertifikatsbasierten Zugriffslösungen
  • Rotation exponierter Zugangsdaten und Krypto-Seeds
  • Überwachung auffälliger Node.js-Prozesse
  • Monitoring ungewöhnlicher POST-Anfragen an Vercel-Domains

Da die Angreifer statische Schlüssel direkt in ihre Angriffsketten integrieren, reichen klassische SSH-Sicherheitsmechanismen laut BlueVoyant inzwischen nicht mehr aus. Die Threat Fusion Cell kündigte an, die weitere Entwicklung der Kampagnen von Shifty Corsair kontinuierlich zu beobachten. Kunden des Security Operations Centers (SOC) würden fortlaufend über neue Erkenntnisse und Bedrohungen informiert.