{"id":1011276,"date":"2026-05-11T16:14:15","date_gmt":"2026-05-11T16:14:15","guid":{"rendered":"https:\/\/www.europesays.com\/de\/1011276\/"},"modified":"2026-05-11T16:14:15","modified_gmt":"2026-05-11T16:14:15","slug":"bluevoyants-threat-fusion-cell-enthuellt-neue-angriffskampagnen-von-shifty-corsair","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/1011276\/","title":{"rendered":"BlueVoyants Threat Fusion Cell enth\u00fcllt neue Angriffskampagnen von Shifty Corsair"},"content":{"rendered":"<p>11. Mai 2026<\/p>\n<p><strong>Vor kurzem hat das Team der Threat Fusion Cell von BlueVoyant in einem <a href=\"https:\/\/www.bluevoyant.com\/blog\/ottercookie-shifty-corsair-bifurcated-attack-strategy\" rel=\"nofollow noopener\" target=\"_blank\">Blogbeitrag<\/a> seine bisherigen Erkenntnisse zu einer Reihe neuer Cyberangriffe vorgelegt, die der nordkoreanischen, staatlich unterst\u00fctzten Bedrohungsgruppe Shifty Corsair zugesprochen werden. Ihr Ergebnis: die Gruppe unternimmt derzeit eine weitaus gr\u00f6\u00dfere und koordiniertere Offensive als bislang von Expertenseite angenommen worden ist.<\/strong><\/p>\n<p>In der Vergangenheit hatten die Cyberkriminellen vor allem mit Angriffen auf den Kryptosektor von sich Reden gemacht \u2013 mit als Bewerbungsgespr\u00e4chen getarnten Social Engineering-Angriffen, in denen sie Entwickler dazu brachten, trojanisierte Anwendungen herunterzuladen. Mittlerweile hat die Gruppe ihre Strategie aber ge\u00e4ndert, verfeinert, optimiert \u2013 so zumindest die neuesten Erkenntnisse von BlueVoyant. Ihre Eink\u00fcnfte versucht sich die Gruppe derzeit \u00fcber zwei parallellaufende Kampagnen zu sichern.<\/p>\n<p><strong>Erstens, eine Sniper-Kampagne:<\/strong> Hier setzen die Cyberkriminellen auf US-amerikanische LLCs und GitHub-Release-Artefakte, um, mit gef\u00e4lschten Programmiertests, Spear Phishing-Angriffe auf hochrangige Ziele durchf\u00fchren zu k\u00f6nnen. Dar\u00fcber hinaus nutzen sie Social Engineering, um ihre Opfer dazu zu verleiten, mit Trojanern infizierte Open-Source-Projekte manuell zu klonen \u2013 wobei dann ein absichtlich eingebauter Fehler in einem Try\/Catch-Initialisierungsblock eine b\u00f6sartige Payload abruft.<\/p>\n<p><strong>Zweitens, eine Lure &amp; Trap-Kampagne:<\/strong> Hier stellen die Cyberkriminellen ihren Opfern \u2013 prim\u00e4r Krypto-Enthusiasten \u2013 hochrentable Kryptow\u00e4hrungs-Handelsbots in Aussicht, f\u00fcr die sie einfach nur einen Download durchf\u00fchren m\u00fcssen.<\/p>\n<p>Bei letzterer Kampagne hat das Team von BlueVoyant eine komplexe, mehrstufige Ausf\u00fchrungskette identifiziert. Aufgebaut ist sie nach dem Prinzip der sogenannten npm-Matroschka. Manuelle und automatisierte Code-Pr\u00fcfungen kann sie problemlos umgehen. Der Angriff startet, sobald ein trojanisiertes Paket heruntergeladen worden ist. Die T\u00e4ter missbrauchen dann den automatisierten Aufl\u00f6sungsprozess der Datei \u201epackage.json\u201c durch ein b\u00f6sartiges Postinstall-Skript, wodurch die Malware beim Download sofort und ohne weitere Interaktion ausgef\u00fchrt wird. In einem n\u00e4chsten Schritt kommen dann J2TEAM-Obfuscator, Konstructor-Wrapper oder auch ein Kodierungsschema mit funktionsspezifischer Alphabetrotation zum Einsatz, die statische Code-Analysen nutzlos machen. Anschlie\u00dfend initiiert die Malware zwei Angriffsketten. Eine Malware, die auf die Dateien \u201eid.json\u201c (Schl\u00fcsselpaare der Solana-Wallet), \u201econfig.toml\u201c (Rust\/Cargo-Konfigurationen) und \u201e.env\u201c abzielt und sie direkt auf einen von Vercel gehosteten C2-Server hochl\u00e4dt. Und eine Malware, die dynamisch Konfigurationsdateien vom C2-Server abruft, um das Dateisystem rekursiv nach neuen Zielerweiterungen zu durchsuchen. In der finalen Phase verbinden die Angreifer dann das Frontend mit dem Backend, um die Daten zu exfiltrieren. Um hierbei ihren b\u00f6sartigen Traffic mit gew\u00f6hnlichem Cloud-Datenverkehr vermischen zu k\u00f6nnen, hosten sie ihre initiale C2-Infrastruktur auf Vercel und w\u00e4hlen Subdomains, die Cloudflare imitieren.<\/p>\n<p>Basierend auf seiner eingehenden Analyse der Kampagnen empfiehlt das Team der BlueVoyant-Threat Fusion Cell Unternehmen f\u00fcr eine erfolgreiche Abwehr, etwaige offene Code-Abh\u00e4ngigkeiten streng zu pr\u00fcfen und Pakete von nicht vertrauensw\u00fcrdigen Konten konsequent zu blockieren. Da die Angreifer statische Schl\u00fcssel injizieren, reicht der Schutz durch herk\u00f6mmliche SSH-Schl\u00fcssel nicht aus. Multi-Faktor-Authentifizierungen und zertifikatsbasierte Zug\u00e4nge sollten eingerichtet werden. Zudem sollten alle Anmeldeinformationen und Krypto-Seeds in exponierten \u201e.env\u201c-Dateien rotiert werden. <strong>Und:<\/strong> IT-Teams sollten Node.js-Prozesse \u00fcberwachen, die auff\u00e4llig schnell sensible Konfigurationen auslesen oder ein hohes Volumen an POST-Anfragen an unerwartete Vercel-Domains versenden.<\/p>\n<p>Das Team der Threat Fusion Cell von BlueVoyant hat bereits angek\u00fcndigt, die Kampagnen-Evolution von Shifty Corsair weiter im Auge behalten zu wollen. Kunden seines SOC werden \u00fcber die weitere Entwicklung auf dem Laufenden gehalten werden.<\/p>\n<p><strong>Eric Litowsky, Regional Director bei BlueVoyant<\/strong><\/p>\n<p>Quelle: Pressemitteilung<\/p>\n<p>Bild\/Quelle:<a href=\"https:\/\/depositphotos.com\/de\/home.html\" rel=\"nofollow noopener\" target=\"_blank\"> https:\/\/depositphotos.com\/de\/home.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"11. Mai 2026 Vor kurzem hat das Team der Threat Fusion Cell von BlueVoyant in einem Blogbeitrag seine&hellip;\n","protected":false},"author":2,"featured_media":1011277,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[29,30,190,189,194,191,193,192],"class_list":{"0":"post-1011276","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-deutschland","9":"tag-germany","10":"tag-science","11":"tag-science-technology","12":"tag-technik","13":"tag-technology","14":"tag-wissenschaft","15":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/116556835545897541","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/1011276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=1011276"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/1011276\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/1011277"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=1011276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=1011276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=1011276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}