Der gefährlichste Ort im Crypto-Bereich zurzeit ist kein DeFi-Protokoll oder eine zentralisierte Börse. Es ist ein Vorstellungsgespräch.
Die Lazarus-Gruppe aus Nordkorea hat ihre Angriffstaktik komplett weiterentwickelt, und die neue Methode ist wirklich beunruhigend in ihrer Einfachheit und Effektivität. Forscher von OpenSourceMalware bestätigten am 6. Mai, dass Lazarus jetzt zweite Stufe Malware-Loader direkt in Git Hooks versteckt – speziell in Pre-Commit-Skripten von Repositories, die Entwickler im Rahmen von Fake-Vorstellungsgesprächen klonen sollen.
Hier ist genau, wie der Angriff funktioniert. Ein Entwickler wird auf LinkedIn oder einer Jobplattform von jemandem angesprochen, der wie ein legitimer Recruiter von einem Krypto- oder DeFi-Unternehmen aussieht. Der Entwickler wird eingeladen, ein technisches Assessment abzulegen. Sie klonen ein Repository. In dem Moment, in dem sie einen routinemäßigen Git-Befehl ausführen — etwas so Standardmäßiges wie ein Git-Merge oder ein Git-Pull — wird ein Pre-Commit-Skript still im Hintergrund ausgeführt. Dieses Skript lädt BeaverTail, einen JavaScript-Infostealer, der von Lazarus entwickelt wurde. BeaverTail installiert dann InvisibleFerret, einen Python-Backdoor, der Angreifern dauerhaften Fernzugriff auf die gesamte Maschine gewährt. Kein verdächtiges Binary. Kein Installationsprompt. Keine Warnung. Die Maschine ist vollständig kompromittiert, bevor der Entwickler das Assessment abgeschlossen hat.
Das ist keine neue Gruppe, die ihren Platz sucht. Das ist eine staatlich finanzierte Operation, die zwischen 2021 und 2025 über fünf Milliarden Dollar in Kryptowährungen gestohlen hat. Im Februar 2025 haben sie in einem einzigen Angriff 1,5 Milliarden Dollar von Bybit gestohlen — den größten einzelnen Krypto-Heist in der Geschichte. Im April 2026, vor gerade drei Wochen, wurden sie mit dem 290 Millionen Dollar KelpDAO-Exploits in Verbindung gebracht. Die USA, Japan und Südkorea haben offiziell bestätigt, dass Lazarus allein 2024 660 Millionen Dollar in Krypto gestohlen hat. Nordkorea verwendet jeden Dollar zur Finanzierung seines Atomwaffenprogramms.
Die Mach-O Man Kampagne im April 2026 hat gezeigt, dass sie auch Führungskräfte in Krypto- und Fintech-Unternehmen durch gefälschte Online-Meetings auf macOS ins Visier nehmen. Die im April entdeckte GitHub C2-Kampagne nutzt GitHub selbst als Command-and-Control-Server — und leitet bösartigen Traffic durch eine der vertrauenswürdigsten Plattformen im Internet, sodass Firewalls es nie als verdächtig kennzeichnen.
Die Forscher haben eine klare Empfehlung. Klone niemals ein Repository, das du über ein Jobangebot oder einen Rekrutierungsprozess erhalten hast, ohne es in einer völlig isolierten Umgebung auszuführen. Bewahre deine SSH-Schlüssel, Browser-Anmeldeinformationen und Seed-Phrasen deiner Krypto-Wallet auf einer Maschine auf, die niemals mit unaufgeforderter Software in Berührung kommt. Wenn ein Recruiter dir ein Repo zum Testen schickt, behandle es wie eine geladene Waffe, bis das Gegenteil bewiesen ist.
Der Jobmarkt im Crypto-Bereich ist echt. Genauso wie die Leute, die darin auf der Jagd sind.
Bleib wachsam.
$BTC $ETH $BNB #CryptoSecurity #LazarusGroup #HackerAlert #Web3Security #dyor
