Supply-Chain-Risiko durch Social Engineering: Die neue Masche nordkoreanischer Gruppen

Von Dr. Martin J. Krämer, CISO Advisor bei KnowBe4

Dass nordkoreanische Hacker versuchen, sich selbst als Entwickler in Unternehmen einschleusen zu lassen, ist längst bekannt.

Neu ist jedoch eine besonders perfide Taktik: Statt sich direkt anstellen zu lassen, missbrauchen sie gezielt Softwareentwickler als Einfallstor – über gefälschte Jobangebote und manipulierte Coding-Interviews.

Forschende von Recorded Future berichten von einer Gruppe mit dem Namen PurpleBravo, die gezielt Entwickler mit Social-Engineering-Taktiken angreift.

Die Kampagnen sind professionell aufgesetzt und richten sich an Fachkräfte in den Bereichen:

• Künstliche Intelligenz
• Kryptowährungen
• Finanzdienstleistungen
• IT-Services
• Marketing
• Softwareentwicklung

Zielregionen sind unter anderem Europa, Südasien, der Nahe Osten und Zentralamerika. Die Angreifer nutzen jobbezogene Phishing-Kampagnen sowie sogenannte ClickFix-Angriffe. Ihr Ziel: Entwickler dazu bringen, präparierten Code auszuführen – häufig im Rahmen vermeintlicher Bewerbungsprozesse.

Fake-Recruiter und manipulierte GitHub-Repositories

Laut Bericht erstellen die Täter gefälschte Profile auf LinkedIn und geben sich als Recruiter aus. Sie kontaktieren gezielt qualifizierte Entwickler mit attraktiven Stellenangeboten. Im nächsten Schritt folgt ein angebliches Coding-Interview. Die Kandidaten werden gebeten, auf ein GitHub-Repository zuzugreifen oder Code lokal auszuführen – etwa als Teil einer technischen Aufgabe. Dabei handelt es sich jedoch um manipulierte Repositories auf GitHub, die Schadcode enthalten. In mehreren dokumentierten Fällen wurde dieser Code auf Unternehmensgeräten ausgeführt. Die Folge: Nicht nur einzelne Entwickler, sondern ganze Organisationen waren exponiert.

Das eingesetzte Toolset

PurpleBravo nutzt unter anderem folgende Schadsoftware:

• BeaverTail – ein JavaScript-Infostealer und Loader
• PyLangGhost – ein plattformübergreifender Remote-Access-Trojaner
• GolangGhost – ebenfalls ein plattformübergreifender RAT

Diese Werkzeuge sind besonders auf den Diebstahl von:

• Browser-Zugangsdaten
• Kryptowährungs-Wallet-Informationen
• sensiblen Unternehmensdaten optimiert.

Auch wenn Kryptowährungsdiebstahl möglicherweise im Fokus steht, zeigt die Analyse, dass viele kompromittierte Organisationen in klassischen IT- und Softwareentwicklungsbereichen tätig sind. Dadurch entsteht ein erhebliches Supply-Chain-Risiko.

Ein unterschätztes Risiko für die Software-Lieferkette

Besonders kritisch ist die Bedrohung für Unternehmen, die:

• auf externe Entwickler oder Freelancer setzen
• IT-Services auslagern
• mit Staff-Augmentation-Modellen arbeiten

Viele der angegriffenen Personen betreuen große öffentliche Datenbanken oder arbeiten in sensiblen Entwicklungsprojekten. Wird ihr System kompromittiert, kann dies direkte Auswirkungen auf Auftraggeber haben.

Während das Thema „nordkoreanische IT-Mitarbeiter in Unternehmen“ bereits intensiv diskutiert wird, erhält das indirekte Lieferkettenrisiko durch Gruppen wie PurpleBravo bislang nicht die gleiche Aufmerksamkeit – zu Unrecht.

Schutzfaktor Mensch

Die Kampagne zeigt eindrücklich: Der Mensch bleibt ein zentraler Faktor der Informationssicherheit. Die Angreifer arbeiten mit glaubwürdigen Rollenbildern und realitätsnahen Szenarien. Ein Bewerbungsgespräch, ein Coding-Test, ein GitHub-Projekt – all das sind normale, alltägliche Prozesse. Gerade deshalb wirken die Angriffe nicht wie klassisches Phishing.

Unternehmen sollten daher:

• Externe Entwickler gezielt sensibilisieren
• Klare Richtlinien für Coding-Tests etablieren
• Die Ausführung fremden Codes auf Unternehmensgeräten strikt regulieren
• Zero-Trust-Prinzipien auch für Freelancer anwenden
• Endpoint-Detection und Monitoring-Lösungen konsequent einsetzen

Security Awareness darf sich nicht nur auf interne Mitarbeitende beschränken. Gerade in einer vernetzten, arbeitsteiligen IT-Welt müssen auch Partner, Dienstleister und Contractor einbezogen werden.

Fazit

PurpleBravo steht exemplarisch für eine neue Generation staatlich unterstützter Cyberangriffe, die nicht nur technische Schwachstellen, sondern gezielt berufliche Prozesse ausnutzen. Fake-Job-Interviews sind mehr als nur eine Betrugsmasche – sie sind ein strategisches Instrument zur Kompromittierung der Software-Lieferkette. Unternehmen müssen ihre Schutzmaßnahmen erweitern: Weg vom reinen Perimeterschutz, hin zu einer ganzheitlichen Sicherheitsstrategie, in der Technologie, Prozesse und vor allem Menschen gleichermaßen berücksichtigt werden.