NERDMANNordkorea klaut Krypto mit Fake-Jobs
Bewerbungsgespräch? Nein, Cyberangriff. Die nordkoreanische Hackergruppe NICKEL ALLEY lockt Entwickler mit gefälschten Jobangeboten in die Falle — und räumt dann deren Krypto-Wallets leer.
Die Masche
Die Gruppe baut ein komplettes Fake-Universum auf: LinkedIn-Profile, Unternehmenswebsites, GitHub-Repos. Alles sieht echt aus. Entwickler bekommen eine Nachricht, ein attraktives Jobangebot, eine „technische Aufgabe" — und installieren sich damit Malware auf den eigenen Rechner.
So läuft der Angriff ab
- Schritt 1:** Fake-Recruiter kontaktiert Entwickler über LinkedIn
- Schritt 2:** Kandidat bekommt „Coding Challenge" mit manipuliertem GitHub-Repo
- Schritt 3:** Beim Ausführen des Codes installiert sich Malware
- Schritt 4:** Krypto-Wallets und Zugangsdaten werden abgegriffen
Was die wollen
- Kryptowährungen** — direkter Diebstahl aus Wallets
- Unternehmensdaten** — Zugänge zu Firmennetzen über kompromittierte Entwickler-Rechner
- Devisen für Pjöngjang** — Nordkoreas Regime finanziert sich seit Jahren durch Cybercrime
💡 Was das bedeutet
Jeder Entwickler, der auf LinkedIn einen „Dream Job" angeboten bekommt, ist potenzielles Ziel. Die „Contagious Interview"-Kampagne läuft seit Monaten und wird immer raffinierter. Wer fremden Code aus Bewerbungsprozessen auf seinem Rechner ausführt, spielt russisches Roulette — nur dass die Kugel aus Pjöngjang kommt.
✅ Pro
- Masche ist bekannt und dokumentiert
- Awareness in der Security-Community wächst
❌ Con
- LinkedIn unternimmt zu wenig gegen Fake-Profile
- Viele Entwickler führen Code-Challenges ohne Sandbox aus
- Nordkorea hat nichts zu verlieren und macht einfach weiter
