Eine aktuelle Entdeckung zeigt, dass eine nordkoreanische Betrügergruppe Entwickler mit einem ausgeklügelten Fake-Job-System ins Visier nimmt, das Malware in Codierungsaufträgen versteckt. Experten haben über 200 Schadsoftwarepakete entdeckt, die mit der Operation namens Graphalgo in Zusammenhang stehen. Interessant ist, dass die Angreifer speziell auf JavaScript- und Python-basierte Technikexperten abzielen, insbesondere auf solche mit Erfahrung in Kryptowährungen.
Die nordkoreanische Betrugsgruppe Graphalgo nutzt Fake-Job-Systeme, um Malware zu verbreiten
ReversingLabs berichtet, dass die Operation seit Mai 2025 aktiv ist. Berichten zufolge geben sich die Angreifer als Blockchain- und Krypto-Handelsunternehmen aus und veröffentlichen gefälschte Stellenanzeigen auf Plattformen wie LinkedIn, Facebook und Reddit. Um sich für die sogenannte Stelle zu bewerben, müssen Bewerber eine technische Aufgabe erfüllen, bei der es sich typischerweise um die Fehlerbehebung oder Verbesserung eines Beispielprojekts handelt.
Die Zuweisung sieht legitim aus, enthält jedoch eine versteckte bösartige Abhängigkeit, die auf vertrauenswürdigen Repositorys wie npm und PyPI gehostet wird. Sobald ein Benutzer den Code ausführt, installiert die Abhängigkeit einen RAS-Trojaner auf dem System. Der Bericht behauptet, dass bis zu 192 schädliche Pakete mit Graphalgo verknüpft sind. In einem Fall war das bigmathutils-Paket bis zur Version 1.1.0 sauber, dann wurde eine bösartige Nutzlast hinzugefügt und das Paket anschließend gelöscht, um einer Entdeckung zu entgehen.
Angreifer erlangen die direkte Kontrolle über das System, während der Benutzer davon nichts mitbekommt
Durch die installierte Schadsoftware erhalten Angreifer die vollständige Kontrolle über infizierte Maschinen. Der Fernzugriffstrojaner kann laufende Prozesse auflisten, beliebige Befehle ausführen, Dateien exfiltrieren und zusätzliche Payloads bereitstellen. Außerdem wird geprüft, ob die Kryptowährungs-Browsererweiterung MetaMask vorhanden ist, was auf finanzielle Motive schließen lässt. Für die Kommunikation mit dem Server nutzt die Schadsoftware ein tokengeschütztes Verfahren. Dies schränkt die Überwachung von außen ein.
Experten haben außerdem herausgefunden, dass die Graphalgo-Operation höchstwahrscheinlich mit der berüchtigten Lazarous-Gruppe in Verbindung steht. Sie sind für ihre Betrügereien im Zusammenhang mit Stellenausschreibungen bekannt. Auf jeden Fall wird Benutzern noch einmal empfohlen, Pakete immer gegenseitig zu überprüfen, bevor sie sie auf ihren Geräten installieren.
