Bei der Untersuchung des Cyber-Angriffs, der Drift ohne $285 Millionen am 1. April 2026 verlassen hat, der ursprünglich ein kurzer Schlag schien, wurde als Ergebnis einer monatelang geplanten sozialen Engineering-Operation enthüllt und von Akteuren geleitet, die mit der Demokratischen Volksrepublik Korea (DPRK) verbunden sind. Drift beschreibt den Vorfall als "ein sechsmonatiger Vorbereitungsangriff", und Notizen mit durchschnittlichem Vertrauen eine Reihe von Akteuren bekannt in Cybersicherheit Kreise wie UNC4736 - auch unter den Namen AppleJeus, Citrine Sleet, Golden Chollima und Gleaming Pisces genannt -, eine Gruppe mit einer langen Geschichte von Kryptomoneda Diebstahl seit mindestens 2018. Drifts eigene Wertschätzung, die mit der Strafverfolgung und forensischen Experten zusammenarbeitet, um die Kette von Ereignissen wieder aufzubauen, finden Sie in seinen Mitteilungen und technischen Einträgen, die von der Firma veröffentlicht werden: https: / / Drift.trade / Blog /.
Was diesen Angriff besonders beunruhigend macht, war keine einfache technische Verwundbarkeit, sondern die Güte, mit der die Angreifer Vertrauen in die Gemeinschaft bauten. Nach den öffentlichen Erklärungen von Drift, seit dem Fall von 2025 Individuen, die sich als quantitative Handelsfirma präsentierten, begannen, face-to-face-Beziehungen mit wichtigen Drift-Beiträgen bei internationalen Konferenzen des kritischen Ökosystems zu etablieren. Dies waren aufeinanderfolgende Treffen mit sorgfältig montierten Berufsprofilen, die zu weiteren technischen Gesprächen und der Schaffung einer Telegram Gruppe führte wo über Monate Strategien, Integration und Werkzeuge diskutiert wurden. Diese Praxis - Ziel, Vertrauen zu gewinnen und eine falsche Identität professionell zu validieren - passt zu anspruchsvollen Social Engineering-Taktiken, die in anderen jüngsten Vorfällen beschrieben werden.
Die Operation beinhaltete absichtliche Schritte, um Legitimität zu zeigen: Einlagen über $1 Million, die Entlastung eines Ecosystem Vault in Drift mit strategischer Dokumentation, der Austausch von Links zu Projekten und nach Drift ein Muster von hoch informierten technischen Fragen, die das typische Verhalten eines kommerziellen Partners simulierten. All dies schaffte eine funktionelle Präsenz, die bis zur letzten Phase authentisch schien. Kurz nach dem Angriff wurden die Messaging-Kanäle und bestimmte Software, die die Angreifer verwendet hatten, beseitigt und die Rückverfolgbarkeit erschwert.
Das technische Schlüsselstück hinter der Intrusion könnte doppelt sein: Zum einen könnte ein Mitarbeiter Code ausgeführt haben, nachdem ein Repository von der angeblichen Firma geteilt wurde; zum anderen wurde ein anderer Beitrag durch Apple TestFlight eine Version einer Geldbörse installiert, die in Beta getestet werden musste. Der Repository-Vektor hätte einen legitimen Microsoft Visual Studio Code-Mechanismus missbraucht: die automatische Ausführung von Aufgaben, die in den Aufgaben definiert sind. json-Datei mit der Option "RunOn: folderOpen", die es erlaubt, eine Aktion zu feuern, wenn der Workspace im Editor geöffnet wird. Es ist eine Methode der Ausbeutung, die in Kampagnen entdeckt wurde, die seit Dezember 2025 an nordkoreanische Akteure vergeben wurden und Veränderungen im VS-Code verursachten; Microsoft dokumentiert die Sicherheitsaktualisierungen und Kontrollen in seinen Versionshinweisen: https: / / code.visualstudio.com / Updates.
Die Verbindungen zwischen dieser Operation und anderen nordkoreanischen Robbenkampagnen sind nicht nur umständlich. Drift weist auf on@-@-Kettentests hin, die Geldströme verbinden, die verwendet werden, um diese Operation mit Akteuren zu testen und zu montieren, die für den Angriff auf Radiant Capital verantwortlich sind, der im Oktober 2024 einen Überfall von 53 Millionen Dollar erlitt. Darüber hinaus zeigen die hergestellten Techniken und Identitäten eine Überschneidung mit Tätigkeiten, die zuvor der DVRK zugeschrieben wurden. Diese Art der technischen und operativen Intelligenz-Analyse war auch Gegenstand von Publikationen in der Branche - zum Beispiel CrowdStrikes Berichte über Varianten wie Golden Chollima, die einen Zweig des nordkoreanischen Programms beschreiben speziell auf die Diebstahl von Kryptowährung durch Angriffe auf kleine und mittlere Fintechs in West und Asien -: https: / / www.crowdstrike.com / blog.
Die wirtschaftliche Motivation ist klar und laut Experten beharrlich. Die jüngsten Berichte deuten darauf hin, dass die DVRK selbst mit einigen diplomatischen und wirtschaftlichen Fortschritten mit Verbündeten wie Russland die Erlöse aus den Sanktionen erwirtschaften muss, um ambitionierte Militärprogramme zu unterstützen, von neuen Schiffen bis zu Raumfahrtprojekten. In diesem Zusammenhang ist die systematische Ausbeutung des kritischen Sektors zu einer regelmäßigen Finanzierungsquelle geworden. Organisationen wie Chainalysis haben wiederholt dokumentiert, wie Kryptomonedas das Recycling und Evasion von Sanktionen erleichtern und wie Zahlungen von Cyber-Operationen zu Netzwerken fließen, die Pionyang begünstigen: https: / / blog.chainalysis.com /.
Aber die nordkoreanische operative Architektur ist nicht auf isolierte Hacker beschränkt: DomainTools forscht auf eine bewusst fragmentierte Malware-Entwicklungsstrategie und -operationen. Nach diesen Analysen wurde das Ökosystem auf separaten Arbeitsspuren - Spionage, Erzeugung von unerlaubten Geldern und Auswirkungen wie Ransomware oder Wischer - mit gemeinsamen Werkzeugen, Infrastrukturen und Betriebsmustern organisiert, um das Risiko der Exposition zu minimieren und die Einbettung einzubetten. Die eigene Analyse von DomainTools fasst zusammen, wie diese Fragmentierung einen Fehler in einer Kampagne kompliziert, um das Programm insgesamt zu enthüllen: https: / / www.domaintools.com / blog /.
Diese Fragmentierung umfasst auch komplexe menschliche Taktiken und Logistik. Zu den dokumentierten Techniken gehören "IT Arbeiterbetrug" Kampagnen, in denen nordkoreanische Betreiber und ein Netzwerk von Moderatoren falsche Identitäten erstellen, Entwickler im Ausland einstellen und diese Menschen in entfernte Arbeitsplätze in westlichen Organisationen platzieren. Arbeiter können Laptops, die von Moderatoren in "Laptopfarmen" eingereicht werden, verwenden und werden dazu geführt, Interviews zu führen, Curriculums zu aktualisieren und legitime Rollen zu übernehmen, die sie dann nutzen, um Backdoors, Exfilter-Daten oder digitale Assets zu stehlen. Berichte von IBM X-Force und anderen Analysten haben die Größe und Systemzufriedenheit dieser Programme beschrieben; IBM hält Ressourcen und Analyse in: https: / / www.ibm.com / sicherheit / xforce.
Der geographische Umfang der Rekrutierungsnetze ist auch nicht anekdotisch: die jüngsten Beweise zeigen Versuche zur Rekrutierung in Ländern wie Iran, Syrien, Libanon und Saudi-Arabien, mit einigen tatsächlichen Rekrutierungen und Angeboten von US-amerikanischen Arbeitgebern. Darüber hinaus kontaktieren Moderatoren Kandidaten auf professionellen Plattformen, bereiten sie auf Interviews vor und fungieren sogar als "Kaler", um technische Tests zu überwinden. Studien von Unterschriften wie Flare haben Beispiele für diesen Prozess und die Verbindung zwischen Kryptomoneda-Vergütung und dem Fluss von Geldern zur DVRK dokumentiert.
Für die kritische Gemeinschaft und für jede Organisation, die Fremdcode integriert, ist der Angriff auf Drift eine schwere Erinnerung, dass Sicherheit nicht nur technisch, sondern auch menschlich ist. Wie Code-Audits und Infrastruktur-Rezensionen sind fortgeschrittene Social Engineering, Identitätsvalidierung und Vetting externer Integration ebenso wichtig. Der Betrieb der täglichen Workflows - Klonen Sie ein Repository, öffnen Sie ein Projekt in einem Editor, testen Sie eine App in TestFlight - kann die Eingangstür für eine Operation, die monatelang gekocht wird.
Die von dieser Episode hinterlassenen Lektionen treiben bereits Änderungen an: von neuer Aufmerksamkeit bis hin zu Standard-Entwicklungstool-Konfigurationen bis hin zur Notwendigkeit strengerer Kontrollen bei Bordprozessen und bei der Verwaltung von Beziehungen mit Partnern. Sie betonen auch die Bedeutung der Zusammenarbeit zwischen kritischen Projekten, Sicherheitsunternehmen und Regierungsagenturen, um Transaktionen im Kettenverkehr zu verfolgen, die Waschinfrastruktur zu zerlegen und Verpflichtungsindikatoren zu teilen. Wenn Sie konkrete Maßnahmen und Warnungen zu bestimmten Techniken treffen möchten, müssen öffentliche Sicherheitshinweise von Unternehmen wie Microsoft und Public sector Analysen gelesen werden: https: / / code.visualstudio.com / Updates und die Veröffentlichungen der einfallenden Reaktionsteams in CrowdStrike, IBM X-Force und Chainalysis bieten zusätzlichen Kontext.
Kurz gesagt, der Angriff auf Drift ist kein isoliertes Ereignis, sondern ein weiteres Beispiel dafür, wie ein ressourcenintensiver Staatsdarsteller und ein organisiertes Programm Sozialtechnik, Lieferkette und scheinbar harmlose technische Betriebe kombinieren können, um massive Mengen an Wert zu entfernen. Wie die Gemeinschaft von diesem Vorfall erfährt und Praktiken aushärtet, zeigt die Geschichte, dass sich auch die Gegner entwickeln; der Vorteil ist jetzt besser integriert menschliche und technische Sicherheit in alle Glieder des Ökosystems.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...