OtterCookie, Nordkoreas

OtterCookie: Nordkoreas Malware versteckt sich in SVG-Bildern

Veröffentlicht: 17.07.2026 um 20:32 Uhr, Redaktion boerse-global.de

Nordkoreanische Hacker nutzen gefÀlschte Stellenanzeigen und manipulierte SVG-Dateien, um Schadsoftware bei Entwicklern einzuschleusen.

Nordkoreanische Hacker: GefĂ€lschte Jobs als Einfallstor fĂŒr Entwickler
Nahaufnahme von HĂ€nden, die auf einer Tastatur tippen, mit Codezeilen auf einem Bildschirm, die versteckte schĂ€dliche Fragmente zeigen – Symbol fĂŒr Steganografie. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Die TÀter locken ihre Opfer mit gefÀlschten Stellenanzeigen und verstecken Schadsoftware in harmlos wirkenden Bilddateien.

Forscher von Elastic Security Labs deckten die Kampagne mit dem Codenamen REF9403 auf. Die Angreifer nutzen ein raffiniertes Verfahren namens Steganographie – sie verbergen Malware in den Metadaten von SVG-Grafiken. Die Schadsoftware trĂ€gt den Namen OtterCookie und wird seit September 2024 von den Sicherheitsexperten beobachtet.

GefÀlschte Coding-Challenges als Einfallstor

Die Angreifer infiltrierten am 26. Mai 2026 den Slack-Workspace von Elastic Security Labs. Ihre Masche: Sie locken Entwickler mit fingierten Job-Angeboten und schicken ihnen trojanisierte Software-Repositories – etwa eine vermeintliche E-Commerce-Anwendung.

Diese Repositories enthalten zwar funktionierenden Code, aber auch manipulierte SVG-Bilddateien. Die Malware ist in Base64-kodierte Fragmente in den HTML-Kommentaren dieser Grafiken eingebettet. Ein spezielles Skript setzt diese Fragmente wieder zusammen, sobald der Entwickler die Coding-Challenge ausfĂŒhrt.

Das resultierende Schadsoftware-Paket ist umfangreich:
- Ein Browser-Credential-Dieb und KryptowÀhrungs-Wallet-Stealer
- Ein Datei-Exfiltrations-Tool
- Ein Remote-Access-Trojaner (RAT) auf Basis von Socket.IO
- Ein Clipboard-Stealer

Die aktuelle Version von OtterCookie kann zudem virtuelle Maschinen erkennen und Daten aus KI-Coding-Tools wie Claude, Cursor, Gemini und Llama abgreifen. Zum Zeitpunkt der Entdeckung zeigten gĂ€ngige Antivirenprogramme null Erkennungen fĂŒr die Malware.

Anzeige

Immer mehr Unternehmen werden Opfer von hochkomplexen Cyberangriffen, die klassische Schutzsysteme oft umgehen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihre IT-Sicherheit proaktiv stĂ€rken und SicherheitslĂŒcken effektiv schließen. Experten-Checkliste zur Cyber-Security jetzt kostenlos sichern

Angriff auf Blockchain und DeFi

Die Attacken auf Entwickler sind Teil einer grĂ¶ĂŸeren Strategie. Ziel ist es, Gelder von DeFi-Plattformen (Decentralized Finance) und Web3-Anwendungen abzuschöpfen. Branchenanalysten berichten, dass allein in den letzten Wochen mehr als 500 Millionen Euro durch Angriffe auf die Protokolle Drift und Kelp abgeflossen sind.

Ein besonders dreister Fall: Die Firma Consensys, Entwickler der populĂ€ren Krypto-Wallet MetaMask, stellte unwissentlich einen nordkoreanischen Entwickler ein. Der Mann, der unter dem Pseudonym Tyler Knapp auftrat, arbeitete von MĂ€rz bis April 2026 als Berater am Kerncode von MetaMask – unter anderem an Systemen zur Umwandlung von KryptowĂ€hrung in Fiatgeld.

Consensys beendete den Zugriff im April, nachdem die Bedrohung erkannt wurde. Eine interne Untersuchung ergab: Es wurden keine Daten gestohlen und kein Schadcode in die Produkte eingeschleust.

SVG-Dateien: Die neue Lieblingswaffe der Hacker

Der Einsatz manipulierter SVG-Dateien ist Teil eines wachsenden Trends. Microsoft verzeichnete im Februar 2026 rund 1,2 Millionen SVG-basierte Phishing-Nachrichten, die an ĂŒber 53.000 Organisationen verschickt wurden. Der Grund: SVG-Dateien können ausfĂŒhrbare Skripte enthalten und werden von traditionellen Sicherheitsfiltern oft ĂŒbersehen.

Anzeige

Besonders perfide Methoden wie CEO-Fraud und manipulierte DateianhĂ€nge nutzen gezielt psychologische Schwachstellen aus, um in Firmennetzwerke einzudringen. Dieser Gratis-Report enthĂŒllt die aktuellen Taktiken der Cyberkriminellen und zeigt Ihnen, wie Sie Ihr Unternehmen in 4 Schritten schĂŒtzen. Kostenloses Anti-Phishing-Paket herunterladen

Die Lage ist ernst. Forscher identifizierten zudem die PolinRider-Kampagne, die auf 162 schÀdliche Artefakte in 106 verschiedenen Softwarepaketen angewachsen ist. Die Angreifer nutzen manipulierte Open-Source-Repositories und manipulierte Zeitstempel, um ihre AktivitÀten zu verschleiern.

Eine weitere Gruppe namens FAMOUS CHOLLIMA soll fĂŒr fast die HĂ€lfte aller staatlich gesteuerten Angriffe auf Technologieunternehmen verantwortlich sein. Sie setzen regelmĂ€ĂŸig gefĂ€lschte IT-IdentitĂ€ten ein, um sich als Remote-Entwickler zu bewerben.

Im sĂŒdkoreanischen Finanzsektor wurde kĂŒrzlich die Qilin-Ransomware-Gruppe mit einem Angriff ĂŒber einen Managed Service Provider in Verbindung gebracht. Die Kampagne, die Ende 2025 begann, fĂŒhrte zur Exfiltration von zwei Terabyte Daten von 28 Opfern. Sicherheitsexperten vermuten eine Verbindung zwischen diesen Ransomware-Operationen und der nordkoreanischen Gruppe Moonstone Sleet.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69789750 |