Die Computer-Sicherheitsszene warnt seit Monaten über Suplanting-Kampagnen im Zusammenhang mit Stellenangeboten, aber der neueste öffentliche Bericht hebt die Täuschung zu einer anderen Kategorie: Angreifer stellen nicht nur gefälschte Unternehmen und attraktive Anzeigen für Entwickler her, sondern bauen technische Übungen für das Opfer, um Code auszuführen, der Malware installiert. Laut ReversingLabs, eine Variation dieses Betrugs - nicknamed "Graphalgo" von Forschern - ist seit mindestens Mai 2025, und richtet sich speziell an JavaScript und Python Entwickler mit Kryptomoneda-bezogenen Aufgaben.
Die Strategie ist elegant und gefährlich: Betreiber erstellen Unternehmensidentitäten im Block- und Handelssektor, veröffentlichen Angebote und technische Tests auf öffentlichen Plattformen wie LinkedIn, Facebook oder Reddit und bitten Kandidaten, ein Beispiel-Repository zum Nachweis ihrer Fähigkeiten herunterzuladen, auszuführen oder zu debuggen. Dieses scheinbar unschuldige Repository enthält eine Abhängigkeit, die auf Pakete in offiziellen Aufzeichnungen (npm und PyPI) verweist. Statt eines nützlichen Codes funktionieren diese Einheiten als Downloads, die einen Trojaner-Fernzugriff (RAT) in der Entwicklermaschine installieren.
Umkehrung Labs befindet sich ein breites Set: 192 schädliche Pakete in Verbindung mit der Kampagne, verteilt zwischen npm und PyPI. In einigen Fällen waren die beliebten Pakete in den ersten Versionen gutartig und erworben bösartige Funktionalität in späteren Updates; als Beispiel, sie erwähnen ein Paket mit Tausenden von Downloads, die feindlich in der Version 1.1.0 und kurz nachdem es markiert wurde "deprecated", ein Manöver, um Tracking schwierig zu machen.
Der Name Graphalgo stammt aus der Wiederholung der "Graph"-Kette in vielen der Pakete, obwohl die Angreifer den Namen ab Dezember 2025 variierten, um Module mit "großen" in ihrem Namen zu veröffentlichen. GitHub Repositories, die als Fassade dienen, sind in der Regel sauber und normal auf den ersten Blick; die Infektion kommt dank externer Abhängigkeiten, die den Nachweis für einen Kandidaten, der nur seine technische Kapazität zeigen will kompliziert. Umkehrung Labs dokumentiert auch die Verwendung von Organisationen in GitHub zu Gruppenprojekten, ein weiteres Zeichen, dass der Angreifer versucht, ein legitimes und kollaboratives Aussehen zu geben.
Die Malware, die über diese Abhängigkeiten geliefert wird, verfügt über typische Fähigkeiten einer Backdoor: Listenprozesse, Remote-Befehle nach Befehl und Steuerung Server-Anweisungen (C2), Exfilter-Dateien und zusätzliche Belastungen herunterladen. Ein enthüllendes Detail ist, dass der Code die Anwesenheit von Kryptoliter-Erweiterungen wie MetaMask im Browser des Nutzers inspiziert, was eindeutig auf ein monetäres Ziel verweist: digitale Vermögenswerte oder zugehörige Anmeldeinformationen zu stehlen.
Die Kampagnenarchitektur zeigt berechnete Modularität: Schadpakete wirken als leichte Downloads, die dann eine vollständigere RAT bringen. Diese Modularität erleichtert es dem Betrieb, auch wenn einige Komponenten erkannt und entfernt werden. Forscher fanden Varianten von Malware in JavaScript, Python und sogar VBS geschrieben, um sowohl moderne Entwicklungsumgebungen als auch Windows-Maschinen mit verschiedenen Konfigurationen zu decken.
ReversingLabs ist in seiner Zuschreibung der Ansicht, dass die Lazarus-Gruppe - verbunden mit Nordkorea - der Hauptverdächtige mit einem Medium zu hohem Vertrauen ist. Die Argumentation basiert auf mehreren Elementen: die Wahl des Ziels (Aktoren verknüpft mit Kryptomonedas), die Verwendung von Kodierung Herausforderungen als Infektionsvektor - Technik in früheren Kampagnen beobachtet -, die verzögerte Aktivierung des schädlichen Codes in einigen Paketen und Metadaten wie die Zeitstempel von Verpflichtungen in GMT + 9. Für diejenigen, die Kontext und Hintergrund auf diesem Schauspieler vergleichen möchten, pflegen Organisationen wie MITRE technische Profile anerkannter Bedrohungsgruppen: MITRE ATT & CK - Lazarus.
Der störendste Aspekt ist die Leichtigkeit, mit der ein abgelenkter Entwickler zum Opfer werden kann: die Durchführung eines Codetests auf einem Computer mit umfangreichen Berechtigungen oder mit exponierten Anmeldeinformationen kann genug sein, um wieder Türen installiert und die Kontrolle von Konten und Schlüsseln zu verlieren. Umkehrung Labs kontaktierten sogar mehrere Programmierer, die in die Falle gefallen waren, um den Rekrutierungsfluss und die Codeausführung besser zu verstehen. Die Verpflichtungsindikatoren (IoC) und die technischen Details stehen im ursprünglichen Bericht der Forscher für diejenigen zur Verfügung, die bestimmte Pakete oder Artefakte überprüfen müssen: ReversingLabs Bericht.
Aus Sicht des Risikomanagements und der digitalen Hygiene unterstreicht der Graphalgo-Fall wieder mehrere praktische Überlegungen für Fachleute und Teams, die Abhängigkeiten von Drittanbietern konsumieren. Es genügt nicht zu vertrauen, dass ein Paket in einem offiziellen Register ist; es ist notwendig, die Lieferkette zu überprüfen, die Ausführung von unbekanntem Code zu isolieren und strenge Richtlinien auf Privilegien und Token zu halten. GitHub und Registrierungsplattformen haben Anleitungen und Tools veröffentlicht, um die Sicherheit von Supply Chain Software zu stärken: Eine nützliche Lesung ist GitHubs Dokumentation zum Schutz dieser Lieferkette ( GitHub Sicherheitshandbuch), während npm und PyPI Seiten mit Sicherheitspolitik und Empfehlungen für Paketautoren und Verbraucher pflegen ( Sicherheit in npm, Sicherheit in PyPI)
Wenn Sie glauben, dass Sie eine der genannten Pakete installiert haben oder Code im Zusammenhang mit einem verdächtigen Job-Angebot ausführen könnten, sollten die Aktionen, die Sie ergreifen sollten sofort sein: heben Sie alle Token, ändern Sie Passwörter und Schlüssel, überprüfen Sie Zugriff auf Exchange-Konten oder Geldbörse, und in vielen Fällen installieren Sie das System von Grund auf, um eine vollständige Malware-Entfernung zu gewährleisten. Umkehrung Labs empfiehlt diese Maßnahmen ausdrücklich und veröffentlicht IoC, um die Vermittlung zu erleichtern.
Über technische Dringlichkeit hinaus erinnert Graphalgo daran, dass Social Engineering gelernt hat, moderne kollaborative Vektoren auszunutzen: ein gut gestalteter technischer Test misst nicht nur Fähigkeiten, sondern kann eine Falle werden. Für Entwickler und Vertragsmanager ist die Unterrichtsstunde klar: Befragungsprozesse zu pflegen, die nicht benötigen, um Artefakte in Produktionsumgebungen durchzuführen, Übungen in isolierten Umgebungen zu bevorzugen und Einheiten mit Software-Versorgungsketten-Analyse-Tools zu überprüfen, bevor Sie einen Drittanbieter-Code akzeptieren.
In einem Bild, in dem staatliche Akteure eine anhaltende Neigung gezeigt haben, digitale Vermögenswerte anzugreifen, vor allem in der kritischen Welt, bildet die Kombination von Identitätssupplantation, scheinbar legitimen Paketen und modularer Persistenz eine anspruchsvolle Bedrohung. Informiert zu halten, gute Isolations- und Unit-Review-Praktiken anzuwenden und den Plattformführern zu folgen, ist jetzt notwendiger denn je, um nicht zum Einstiegspfad für einen breiteren Angriff zu werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...