Die nordkoreanische Kampagne Contagious Interview erreicht eine neue Eskalationsstufe: Nach Erkenntnissen des Sicherheitsunternehmens Socket platzieren die Angreifer nun Schadpakete in mehreren Entwickler-Ökosystemen gleichzeitig – darunter Go, Rust und PHP. Ziel ist weiterhin die Kompromittierung der Software-Lieferkette und der Erstzugang zu Entwicklerumgebungen, um anschließende Spionage- und finanziell motivierte Operationen durchzuführen.
Neue Angriffswelle auf Go, Rust und PHP: Entwickler-Tools als Einfallstor
Nach Angaben von Socket-Forscher Kirill Boichenko veröffentlichen die Akteure Pakete, die legitime Entwicklerwerkzeuge imitieren – etwa Logging-Utilities, Lizenz-Helper oder generische Hilfsbibliotheken. Hinter der scheinbar nützlichen Funktionalität verbergen sich jedoch Loader für mehrstufige Malware, die eine kross-ökosystemische Supply-Chain-Operation ermöglichen.
Nach der Installation laden diese Loader eine zweite Stufe nach, typischerweise einen plattformspezifischen Infostealer mit RAT-Funktionen (Remote Access Trojan). Im Fokus stehen Daten aus Webbrowsern, Passwortmanagern und Kryptowallets. Entwicklerrechner sind damit nicht nur selbst Ziel, sondern dienen als Sprungbrett in Unternehmensnetzwerke, da sie oft über weitreichende Zugriffsrechte auf Quellcode, CI/CD-Pipelines und Cloud-Ressourcen verfügen.
Besonders kritisch ist die Windows-Variante, die unter anderem über das Paket „license-utils-kit“ verbreitet wird. Socket stuft sie als vollwertigen Post-Exploitation-Implantat ein: Die Malware kann Shell-Befehle ausführen, Keylogging betreiben, Browser-Daten exfiltrieren, Dateien hoch- und herunterladen, Browserprozesse gezielt beenden, AnyDesk für Fernzugriff ausrollen, verschlüsselte Archive erstellen und zusätzliche Module nachladen. Damit bewegt sich die Kampagne deutlich über das Niveau eines reinen Datendiebs hinaus und ermöglicht ein langfristiges, persistentes Eindringen in Infrastrukturen.
Versteckter Schadcode in normalen Bibliotheksfunktionen
Ein technisch besonders gefährlicher Aspekt dieser Angriffswelle ist die Art der Aktivierung: Schadcode wird nicht beim Installationsvorgang ausgeführt, wie es bei vielen klassischen Supply-Chain-Angriffen der Fall ist. Stattdessen ist er in scheinbar harmlose Funktionen eingebettet, die exakt dem dokumentierten Zweck der Bibliothek entsprechen.
Im Fall des Rust-Pakets „logtrace“ steckt der bösartige Anteil in der Methode Logger::trace(i32). Ein ausführliches Trace-Logging aufzurufen ist für Entwickler völlig üblich und unverdächtig. Genau diese Konvergenz aus legitimer Funktion und versteckter Payload erschwert statische Analysen erheblich und erhöht die Wahrscheinlichkeit, dass der Schadcode real in Anwendungen, Build-Pipelines und automatisierten Tests ausgeführt wird – ohne auffälliges Verhalten bei Installation oder Update.
Solche Techniken folgen einem Muster, das bereits in früheren Supply-Chain-Vorfällen – von kompromittierten npm-Paketen bis hin zu Build-System-Angriffen wie SolarWinds – zu beobachten war: Der Angreifer platziert sich möglichst tief in alltägliche Entwicklungsabläufe, um Sicherheitskontrollen zu umgehen, die sich vor allem auf Perimeter, E-Mail oder Enduser-Clients konzentrieren.
Teil einer breiteren nordkoreanischen Kampagne gegen die Software-Lieferkette
Socket ordnet die Ausweitung von Contagious Interview in eine größere Offensive nordkoreanischer Gruppen gegen die globale Open-Source- und Software-Lieferkette ein. In dieses Bild passt die Kompromittierung des populären npm-Pakets Axios, über das nach der Übernahme des Maintainer-Accounts mittels gezielter Social-Engineering-Angriffe der Implantattyp WAVESHAPER.V2 verteilt wurde.
Die Aktivitäten werden dem finanziell motivierten Akteur UNC1069 zugeschrieben, der Überschneidungen mit bekannten Gruppen wie BlueNoroff, Sapphire Sleet und Stardust Chollima aufweist. Diese Einheiten kombinieren Cyber-Spionage mit Cyberkriminalität, zielen auf Finanz- und Technologiefirmen und nutzen kompromittierte Entwicklerumgebungen, um direkten oder indirekten Zugriff auf Vermögenswerte zu erlangen.
Social Engineering über Zoom, Microsoft Teams und Business-Messenger
Nach Daten der Security Alliance (SEAL) wurden zwischen 6. Februar und 7. April 2026 164 Domains blockiert, die UNC1069 zugeordnet werden und bekannte Videokonferenzdienste wie Microsoft Teams und Zoom imitieren. Die Angreifer fahren langfristige, niedrigschwellige Social-Engineering-Kampagnen über Telegram, LinkedIn und Slack, oft unter Nutzung realer Identitäten, bekannter Marken oder bereits kompromittierter Konten.
Endpunkt dieser Kontaktaufnahme ist meist ein gefälschter Einladungslink zu einem virtuellen Meeting. Die Zielseiten ähneln bekannten ClickFix-Schemata und verleiten Nutzer dazu, vermeintliche „Updates“ oder „Fixes“ zu starten – tatsächlich handelt es sich um Malware-Installer für Windows, macOS und Linux. Laut SEAL bleiben die Operatoren nach erfolgreicher Infektion bewusst oft inaktiv: Der Implantat bleibt im Schlafmodus, während die betroffene Person die abgebrochene Besprechung einfach neu terminiert. Diese Zurückhaltung verlängert die unentdeckte Verweildauer und maximiert die Menge der abfließenden Daten, bevor Incident-Response-Maßnahmen greifen.
Konsequenzen für Entwickler, Organisationen und die Software-Lieferkette
Seit Januar 2025 wurden laut Socket über 1.700 bösartige Pakete identifiziert, die mit dieser Kampagne in Verbindung stehen. Der Umfang und die gleichzeitige Präsenz in mehreren Ökosystemen zeigen, dass es sich um eine gut finanzierte, hochgradig persistente Bedrohung für Open Source und Supply Chains handelt. Microsoft bestätigt eine kontinuierliche Evolution der Werkzeuge und Infrastruktur nordkoreanischer, finanziell motivierter Gruppen: Sie ändern Taktiken, Tools und Hosting-Strukturen, behalten aber konsistente Verhaltensmuster und Ziele bei – insbesondere den Missbrauch von Domains, die US-Finanzinstitute und Videokonferenzdienste imitieren.
Zum wirksamen Schutz gegen Kampagnen wie Contagious Interview sollten Organisationen mehrere technische und organisatorische Maßnahmen kombinieren:
1. Kontrollierte Paketquellen und Abhängigkeiten: Einsatz interner Spiegel und privater Repositories, Aufbau einer Allowlist vertrauenswürdiger Pakete und strenge Prozesse für neue Dependencies.
2. Reproduzierbare Builds: Versionen und Hashes aller Abhängigkeiten in Lock-Files und Build-Manifests fixieren, um unbemerkte Upgrades auf manipulierte Versionen zu verhindern.
3. Tiefgehende Paket-Analyse: Nutzung von Software Composition Analysis (SCA) und dynamischer Verhaltensanalyse, nicht nur Lizenz- und CVE-Checks.
4. Härtung von Entwickler- und CI/CD-Umgebungen: Minimale Rechte für Pipelines und Entwickler-Workstations, Einsatz von EDR/AV speziell auf diesen Systemen, konsequente Segmentierung und Geheimnismanagement.
5. Schutz von Maintainer-Konten: Verpflichtende Multi-Faktor-Authentifizierung für npm, GitHub & Co. sowie Überwachung ungewöhnlicher Logins und Veröffentlichungen.
6. Schulung gegen Social Engineering: Sensibilisierung für manipulierte Zoom/Teams-Einladungen, manuelle Prüfung von Domains und strikte Ablehnung von „Quick-Fix“-Downloads aus inoffiziellen Quellen.
Die Ausweitung von Contagious Interview macht deutlich, dass Supply-Chain-Angriffe zu einem Kernwerkzeug staatlich unterstützter und finanziell motivierter Gruppen geworden sind. Unternehmen sollten ihre Strategien zum Management von Abhängigkeiten, zur Absicherung von Entwicklerumgebungen und zur Awareness-Schulung kritisch überprüfen und systematisch ausbauen. Wer frühzeitig robuste Prozesse und technische Kontrollen entlang der gesamten Software-Lieferkette etabliert, reduziert nicht nur das Risiko solcher Angriffe, sondern erschwert es Angreifern erheblich, alltägliche Bibliotheken und scheinbar harmlose Video-Meetings in Einfallstore in die eigene Infrastruktur zu verwandeln.
