BlueVoyants Threat Fusion Cell enthüllt neue Angriffskampagnen von Shifty Corsair

11. Mai 2026

Vor kurzem hat das Team der Threat Fusion Cell von BlueVoyant in einem Blogbeitrag seine bisherigen Erkenntnisse zu einer Reihe neuer Cyberangriffe vorgelegt, die der nordkoreanischen, staatlich unterstützten Bedrohungsgruppe Shifty Corsair zugesprochen werden. Ihr Ergebnis: die Gruppe unternimmt derzeit eine weitaus größere und koordiniertere Offensive als bislang von Expertenseite angenommen worden ist.

In der Vergangenheit hatten die Cyberkriminellen vor allem mit Angriffen auf den Kryptosektor von sich Reden gemacht – mit als Bewerbungsgesprächen getarnten Social Engineering-Angriffen, in denen sie Entwickler dazu brachten, trojanisierte Anwendungen herunterzuladen. Mittlerweile hat die Gruppe ihre Strategie aber geändert, verfeinert, optimiert – so zumindest die neuesten Erkenntnisse von BlueVoyant. Ihre Einkünfte versucht sich die Gruppe derzeit über zwei parallellaufende Kampagnen zu sichern.

Erstens, eine Sniper-Kampagne: Hier setzen die Cyberkriminellen auf US-amerikanische LLCs und GitHub-Release-Artefakte, um, mit gefälschten Programmiertests, Spear Phishing-Angriffe auf hochrangige Ziele durchführen zu können. Darüber hinaus nutzen sie Social Engineering, um ihre Opfer dazu zu verleiten, mit Trojanern infizierte Open-Source-Projekte manuell zu klonen – wobei dann ein absichtlich eingebauter Fehler in einem Try/Catch-Initialisierungsblock eine bösartige Payload abruft.

Zweitens, eine Lure & Trap-Kampagne: Hier stellen die Cyberkriminellen ihren Opfern – primär Krypto-Enthusiasten – hochrentable Kryptowährungs-Handelsbots in Aussicht, für die sie einfach nur einen Download durchführen müssen.

Bei letzterer Kampagne hat das Team von BlueVoyant eine komplexe, mehrstufige Ausführungskette identifiziert. Aufgebaut ist sie nach dem Prinzip der sogenannten npm-Matroschka. Manuelle und automatisierte Code-Prüfungen kann sie problemlos umgehen. Der Angriff startet, sobald ein trojanisiertes Paket heruntergeladen worden ist. Die Täter missbrauchen dann den automatisierten Auflösungsprozess der Datei „package.json“ durch ein bösartiges Postinstall-Skript, wodurch die Malware beim Download sofort und ohne weitere Interaktion ausgeführt wird. In einem nächsten Schritt kommen dann J2TEAM-Obfuscator, Konstructor-Wrapper oder auch ein Kodierungsschema mit funktionsspezifischer Alphabetrotation zum Einsatz, die statische Code-Analysen nutzlos machen. Anschließend initiiert die Malware zwei Angriffsketten. Eine Malware, die auf die Dateien „id.json“ (Schlüsselpaare der Solana-Wallet), „config.toml“ (Rust/Cargo-Konfigurationen) und „.env“ abzielt und sie direkt auf einen von Vercel gehosteten C2-Server hochlädt. Und eine Malware, die dynamisch Konfigurationsdateien vom C2-Server abruft, um das Dateisystem rekursiv nach neuen Zielerweiterungen zu durchsuchen. In der finalen Phase verbinden die Angreifer dann das Frontend mit dem Backend, um die Daten zu exfiltrieren. Um hierbei ihren bösartigen Traffic mit gewöhnlichem Cloud-Datenverkehr vermischen zu können, hosten sie ihre initiale C2-Infrastruktur auf Vercel und wählen Subdomains, die Cloudflare imitieren.

Basierend auf seiner eingehenden Analyse der Kampagnen empfiehlt das Team der BlueVoyant-Threat Fusion Cell Unternehmen für eine erfolgreiche Abwehr, etwaige offene Code-Abhängigkeiten streng zu prüfen und Pakete von nicht vertrauenswürdigen Konten konsequent zu blockieren. Da die Angreifer statische Schlüssel injizieren, reicht der Schutz durch herkömmliche SSH-Schlüssel nicht aus. Multi-Faktor-Authentifizierungen und zertifikatsbasierte Zugänge sollten eingerichtet werden. Zudem sollten alle Anmeldeinformationen und Krypto-Seeds in exponierten „.env“-Dateien rotiert werden. Und: IT-Teams sollten Node.js-Prozesse überwachen, die auffällig schnell sensible Konfigurationen auslesen oder ein hohes Volumen an POST-Anfragen an unerwartete Vercel-Domains versenden.

Das Team der Threat Fusion Cell von BlueVoyant hat bereits angekündigt, die Kampagnen-Evolution von Shifty Corsair weiter im Auge behalten zu wollen. Kunden seines SOC werden über die weitere Entwicklung auf dem Laufenden gehalten werden.

Eric Litowsky, Regional Director bei BlueVoyant

Quelle: Pressemitteilung

Bild/Quelle: https://depositphotos.com/de/home.html