Ein neuer Nachrichtenbericht hat erneut eine anhaltende und anspruchsvolle Bedrohung auf den Tisch gestellt, die Social Engineering, den Missbrauch von Entwicklungswerkzeugen und den Betrieben in der Software-Versorgungskette verbindet. Gemäß den von Aufgenommene Zukunft, eine Operation unter dem Appell verfolgt PurpleBravo hätte auf Tausende von IP-Adressen und Dutzende von Unternehmen auf mehreren Kontinenten hingewiesen, mit falschen Stellenangeboten und engagierten Entwicklungsprojekten wie lures zum Einsatz von Malware.
Die Ergebnisse beschreiben 3.136 individuelle IP-Adressen zwischen August 2024 und September 2025 mit potenziellen Zielen dieser Tätigkeit verbunden waren, und dass die Kampagne behauptete, ein Dutzend Organisationen in Sektoren von künstlicher Intelligenz und Kryptomonedas bis hin zu Finanzdienstleistungen, Marketing und Softwareentwicklung gezielt zu haben. Die identifizierten Opfer werden von Ländern wie Belgien, Indien, Italien, Pakistan, Rumänien, Vereinigte Arabische Emirate und Vietnam verteilt, die den transnationalen Umfang des Schauspielers hervorheben.
Die Relevanz dieser Operation ist nicht nur die Menge der möglicherweise betroffenen Maschinen, sondern die Taktik verwendet: falsche Profile in professionellen Netzwerken und bösartige Repositories, die durch legitime Projekte von Visual Studio Code oder GitHub. Untersuchungen von Sicherheitssignaturen, einschließlich Veröffentlichungen Jamf Threat Labs, haben gezeigt, wie Angreifer Hintertüren und Ladegeräte in Pakete einfügen, die Entwickler klonen und laufen könnten, indem sie vertrauen, dass sie aus zuverlässigen Quellen kommen. Auf diese Weise werden die Entwicklungsstandard-Workflows verwendet, um Malware ohne die Notwendigkeit traditioneller Schwachstellen einzuführen.
Die kampagnenbezogenen Malware-Familien umfassen Informationen Diebe und Hintertüren in verschiedenen Sprachen geschrieben, darunter ein JavaScript-Infostealer bekannt als BeaverTail und eine Hintertür entwickelt in Go - nicknamed GolangGhost oder ähnliche Varianten -, die Open Source-Tool-Komponenten wieder verwendet, um Anmeldeinformationen und Exfilter-Daten zu stehlen. Die zugehörigen Befehls- und Kontrollserver (C2) wurden in mehreren Lieferanten untergebracht und über den VPN Astrill verwaltet, ein Infrastrukturmuster, das bereits bei bösartigen Aktivitäten beobachtet wurde, die den nordkoreanischen Akteuren zugeschrieben wurden.
Neben der Verbreitung von Malware durch Repositories hat die Operation falsche Rekrutierung mit Codetests kombiniert: Kandidaten, die von den Angreifern kontaktiert wurden, führten technische Übungen auf Unternehmensgeräten durch, die in vielen Fällen die Ausführung von schädlichen Code auf den Teams des Vertragsunternehmens beteiligt waren. Der Nebeneffekt zeigt sich: Das Risiko ist nicht mehr auf den individuellen Empfang des Angebots beschränkt, sondern erstreckt sich auf Kunden und Partner der betroffenen Organisation und schafft einen Vektor von Verpflichtungen in der Software-Versorgungskette.
Diese Art des Betriebs ergänzt eine weitere seit Jahren bekannte Tätigkeitslinie: die Einführung von nordkoreanischen Computerarbeitern unter falschen Identitäten für Organisationen im Ausland, für Spionage- und Gewinnzwecke. Obwohl die beiden Fronten - betrügerische Arbeitsplätze und engagierte Software-Versorgungskampagnen - getrennt behandelt werden, verweist die Forschung auf eine wichtige Überschneidung in der Taktik, der Infrastruktur und den Betreibern, die die Zuschreibung erschweren und die potenziellen Auswirkungen bei der Konvergenz vervielfachen.
Für Unternehmen, die die Entwicklung unterziehen oder verteilte Geräte unterhalten, ist die Lektion klar und dringend. Es reicht nicht aus, sich auf die offensichtliche Herkunft eines Repository oder die Richtigkeit eines oberflächlich geprüften Stellenangebots zu verlassen.. Überprüfung von Integrationspipelines, Einschränkungen der Codeausführung von Unternehmensgeräten und separaten technischen Bewertungsumgebungen von denen, die Zugang zu produktiven Umgebungen haben, sind Maßnahmen, die so schnell wie möglich in die Sicherheitspolitik einbezogen werden sollten. Behörden wie CISA und Rahmen wie MITRE ATT & CK Bereitstellung von Ressourcen und Referenzen, um Taktiken zu verstehen und Risiken im Zusammenhang mit anhaltenden Bedrohungskampagnen zu mildern.
Es ist auch erwähnenswert, dass Angreifer Vertrauen ausnutzen: ein beliebtes Visual Studio Code-Projekt, ein Beispielpaket oder eine technische Herausforderung mag harmlos erscheinen, aber eine einzige rücksichtslose Ausführung kann eine Tür zum Unternehmensnetzwerk öffnen. Zu den bewährten Praktiken gehören eine strenge Validierung von Abhängigkeiten, die Blockierung von nicht unterzeichneten Skripten in Unternehmensmaschinen, die Nutzung isolierter Testumgebungen und die Weiterbildung für Rekrutierungsteams und Personal, da sie am meisten mit externen Kandidaten interagieren.
Auf betrieblicher Ebene verringert die Diversifizierung der Kontrollen - Endpunkteerkennung, Verkehrsüberwachung auf verdächtige Infrastruktur, Blocklisten und Netzwerksegmentierung - die Wahrscheinlichkeit, dass ein einzelner Fehler zu einer größeren Lücke führt. Und auf strategischer Ebene sollten Organisationen das Risiko eines großen kundenbasierten Lieferanten in Regionen berücksichtigen, in denen diese Kampagnen ihren Glanz führen, weil ein Zulieferkettenverstoß die Konsequenzen vervielfachen kann.
Die Zwischenfälle, die Social Engineering, Missbrauch von Entwicklungsplattformen und kreative Nutzungen von Infrastrukturen wie kommerziellem VPN kombinieren, sind komplex und erfordern ebenso multidisziplinäre Reaktionen. Berichte wie Aufgenommene Zukunft und Publikationen von Bedrohungslabors wie Ja Sie helfen, die Landschaft zu verstehen und Verteidigung zu priorisieren, aber die Umsetzung fällt auf jede Organisation: Es gibt keine einzige Heilung, sondern die Notwendigkeit für kombinierte Schichten von Prävention, Erkennung und Reaktion.
Kurz gesagt, die Kampagne bekannt als Contagious Interview und damit verbundene Operationen zeigen, wie Akteure mit unterschiedlichen Motivationen sowohl neue Techniken als auch vorhersehbare menschliche Praktiken nutzen können. Die Sicherheit von Software- und Beschaffungsprozessen sollte als integriertes Ganzes behandelt werden, und sowohl technische Ausrüstung als auch Geschäftsbereiche müssen koordiniert werden, um das Gelegenheitsfenster dieser Angreifer zu reduzieren. Um auf dem Laufenden zu bleiben, wird es immer noch empfohlen, auf der Grundlage neuer öffentlicher Berichte spezialisierte Quellen und Aktualisierungsrichtlinien zu konsultieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...