Am 1. April 2026 wurde die auf Solana basierende dezentrale Börse Drift Ziel eines hochentwickelten Cyberangriffs, bei dem Kryptowährungen im Wert von rund 285 Millionen US‑Dollar entwendet wurden. Nach bisheriger Analyse handelt es sich nicht um einen einzelnen Exploit, sondern um den Abschluss einer mehrstufigen, monatelang vorbereiteten Operation, die tiefgreifende Social-Engineering-Taktiken mit dem Missbrauch von Developer-Tools kombiniert.
Drift-Hack und Lazarus-Ökosphäre: UNC4736 im Fokus
Drift führt den Vorfall mit „mittlerer Konfidenz“ auf die nordkoreanische Gruppe UNC4736 zurück, besser bekannt unter Namen wie AppleJeus, Golden Chollima, Citrine Sleet oder Gleaming Pisces. Diese Einheit wird der weiteren Lazarus-Ökosphäre zugerechnet, die laut Analysen von Sicherheitsanbietern seit spätestens 2018 systematisch den Kryptosektor ins Visier nimmt.
UNC4736 wird bereits mit der Supply-Chain-Kompromittierung von X_TRADER/3CX im Jahr 2023 sowie mit dem Diebstahl von rund 53 Millionen US‑Dollar von der DeFi-Plattform Radiant Capital im Jahr 2024 in Verbindung gebracht. Der Angriff auf Drift fügt sich somit nahtlos in ein Muster ein, bei dem nordkoreanische Gruppen gezielt Krypto-Infrastruktur ausbeuten, um internationale Sanktionen zu umgehen – Chainalysis schätzte die aus Krypto-Hacks stammenden Einnahmen Nordkoreas in einzelnen Jahren bereits im Milliardenbereich.
Langanlegte Social-Engineering-Kampagne gegen Drift
Gefälschter Quant-Fonds als Türöffner in die DeFi-Community
Der Angriff auf Drift wurde maßgeblich durch eine langfristig angelegte Social-Engineering-Kampagne vorbereitet. Bereits im Herbst 2025 traten Personen auf internationalen Kryptokonferenzen als Vertreter eines „quantitativen Trading-Fonds“ auf und suchten gezielt das Gespräch mit Kern-Entwicklern und Beitragsleistenden von Drift.
Die angeblichen Trader verfügten über glaubwürdige Lebensläufe, kannten interne Abläufe des Protokolls und traten technisch versiert auf. Nach den ersten Treffen wurde ein Telegram-Chat eingerichtet, in dem über mehrere Monate hinweg Strategien, Risiken und mögliche Integrationen mit dem Drift-Protokoll diskutiert wurden. Auffällig ist, dass die beteiligten Personen nicht als Bürger der DVRK auftraten – ein bekanntes Muster, da Nordkorea häufig Drittländer und Strohleute für physische Treffen und Verhandlungen nutzt.
Ecosystem Vault als strategischer Ankerpunkt
Zwischen Dezember 2025 und Januar 2026 richteten die Angreifer auf der Plattform einen Ecosystem Vault ein. Sie füllten die umfangreichen Formulare mit einer ausgefeilten Handelsstrategie, suchten aktiv den Austausch mit mehreren Drift-Contributoren und baten um Hilfe bei komplexen Produktdetails. Um Vertrauen zu maximieren, deponierten sie über 1 Million US‑Dollar an eigenen Mitteln im Vault und blieben bis März 2026 kommunikativ äußerst präsent – inklusive dem Teilen von Links zu angeblich „in Entwicklung befindlichen“ Tools und Projekten.
VS Code als Angriffsvektor: tasks.json-Missbrauch und Contagious Interview
Unmittelbar nach dem Angriff wurden Telegram-Chats und Malware-Artefakte weitgehend gelöscht, was die forensische Analyse erschwert. Einer der zentral geprüften Vektoren ist eine Kompromittierung über ein Visual-Studio-Code-Projekt, das von den vermeintlichen Partnern an Drift-Entwickler übergeben wurde.
Nach Einschätzung von Drift und unabhängigen Analysten könnte in dem Projekt die Datei tasks.json so manipuliert worden sein, dass beim Öffnen des Workspace automatisch Schadcode ausgeführt wird – etwa über die Option runOn: „folderOpen“. Diese Technik ist seit Ende 2025 aus der nordkoreanischen Kampagne „Contagious Interview“ bekannt, bei der Bewerber im Rahmen vermeintlicher Testaufgaben infizierte Repositories erhalten.
Microsoft hat auf diese Missbrauchsszenarien reagiert und in VS Code ab den Versionen 1.109 und 1.110 zusätzliche Schutzmechanismen eingebaut, die das automatische Starten von Tasks beim Öffnen einer Arbeitsumgebung einschränken. Der Fall Drift zeigt jedoch deutlich, dass Entwicklerwerkzeuge zu einem vollwertigen Angriffsvektor geworden sind – gleichrangig zu Phishing-Kampagnen und der Ausnutzung klassischer Software-Schwachstellen.
Fragmentierte Cyberstruktur Nordkoreas: Lazarus, Kimsuky und Andariel
Laut Untersuchungen von DomainTools hat sich das Cyberprogramm der DVRK zu einer bewusst fragmentierten Ökosphäre entwickelt. Entwicklung, Infrastruktur und operative Teams werden entlang klarer Missionsprofile getrennt, um die Enttarnung kompletter Programme durch das Auffliegen einzelner Komponenten zu verhindern.
Im Kern lassen sich drei Schwerpunkte erkennen: Kimsuky für nachrichtendienstlich motivierte Spionageoperationen, Lazarus/UNC4736 für finanziell motivierte Angriffe und Sanktionsumgehung sowie Andariel für destruktive Aktivitäten mit Ransomware und Wiper-Malware. Zusammengenommen liefern diese Operationen Aufklärung, Finanzierung und Machtdemonstration – mit Kryptowährungen als zentralem monetären Rückgrat.
IT-Worker-Fraud, Remote-Arbeit und die Rolle von Kryptobörsen
Gefälschte Interviews, Strohleute und Laptop-Farmen
Neben gezielten DeFi-Angriffen setzt Nordkorea verstärkt auf das Programm „IT worker fraud“. Recherchen von Flare und IBM X-Force zeigen, dass tausende technische Spezialisten aus China, Russland und weiteren Ländern für westliche Unternehmen arbeiten, jedoch unter gestohlenen oder frei erfundenen Identitäten.
Zwischenhändler in den USA und Europa betreiben sogenannte „Laptop-Farmen“, nehmen Firmenhardware entgegen, leiten sie weiter und organisieren Zahlungsströme. Hinzu kommen „Caller“ aus Ländern wie Iran, Irland oder Indien, die technisch anspruchsvolle Bewerbungsgespräche führen und sich dabei als sorgfältig vorbereitete westliche Personen ausgeben.
Kryptowährungen als Rückkanal für sanktionierte Staaten
In diesem Geflecht spielen Kryptowährungen eine Schlüsselrolle. Analysen von Chainalysis zufolge fließt der Großteil der Einnahmen aus IT-Worker-Fraud und Hacking-Kampagnen über Krypto-Mixing-Dienste, DeFi-Protokolle und Peer-to-Peer-Plattformen zurück in die DVRK. Parallel gibt es Hinweise, dass inzwischen auch Spezialisten aus Iran, Syrien, Libanon und Saudi-Arabien in entsprechende Strukturen eingebunden werden.
Die Ereignisse rund um Drift verdeutlichen, dass die Grenzen zwischen klassischen staatlichen APT-Operationen und finanziell motivierter Cyberkriminalität weitgehend verschwimmen. Organisationen in der Kryptoindustrie – und darüber hinaus – sollten Gegenparteien strenger prüfen, starke Mehrfaktorauthentifizierung einsetzen, Entwicklungsumgebungen isolieren und Source-Code- sowie IDE-Plug-in-Controls etablieren. Unternehmen mit hohem Remote-Anteil sind gut beraten, Onboarding-, Identitätsprüfungs- und Monitoring-Prozesse zu verschärfen, um nicht unbemerkt Teil der nächsten mehrstufigen Operation zu werden.
