Es ist die Art von Cyberangriff, vor der Sicherheitsbehörden seit Jahren warnen – und die dennoch immer wieder gelingt: Nicht der direkte Angriff auf ein einzelnes Unternehmen, sondern der Angriff auf die Software, die Tausende gleichzeitig nutzen.
Genau das ist nun offenbar passiert. Nach Einschätzung von Sicherheitsexperten haben mutmaßlich nordkoreanische Hacker ein weit verbreitetes Open-Source-Softwarepaket kompromittiert, das in den USA von Unternehmen aus nahezu allen Branchen eingesetzt wird – von Gesundheitsfirmen bis zu Finanzdienstleistern. Die Folgen könnten gravierend sein. Und sie könnten noch lange nachwirken.
Denn der Verdacht lautet: Pjöngjang nutzt die Attacke als Einfallstor für einen neuen Krypto-Raubzug.
Drei Stunden Zugriff – mit potenziell monatelangen Folgen
Im Zentrum des Angriffs steht eine Open-Source-Software namens Axios, ein weit verbreitetes Paket, das Entwickler für den Aufbau und Betrieb von Websites verwenden. Nach Angaben von Sicherheitsexperten verschafften sich die Angreifer am Dienstagmorgen für rund drei Stunden Zugriff auf das Konto eines Softwareentwicklers, der das Projekt verwaltet.
In dieser Zeit konnten sie manipulierte Updates an Organisationen ausliefern, die die Software herunterluden oder aktualisierten.
Was nach einem kurzen Zeitfenster klingt, ist in Wahrheit der Albtraum jeder IT-Abteilung:
Ein kompromittiertes Update in einer Standardkomponente kann sich wie ein digitaler Krankheitserreger in ganze Unternehmensnetzwerke einschleusen – oft unbemerkt, oft mit Verzögerung, oft mit Folgen, die erst Tage oder Wochen später sichtbar werden.
Lieferkettenangriff statt Frontalangriff
Der Fall ist ein klassischer Supply-Chain-Angriff, also ein Angriff auf die digitale Lieferkette.
Das Prinzip:
- Nicht das eigentliche Ziel wird direkt attackiert,
- sondern ein Zulieferer, eine Bibliothek, ein Dienstleister oder ein Softwarebaustein,
- dem viele Unternehmen vertrauen.
Das macht solche Angriffe besonders gefährlich. Denn wer eine verbreitete Softwarekomponente manipuliert, muss nicht mehr 1000 Firmen einzeln hacken – die Firmen holen sich den Schadcode im Zweifel selbst ins Haus.
In diesem Fall trifft es ausgerechnet eine Software, die quer durch die US-Wirtschaft genutzt wird. Auch Kryptofirmen und Unternehmen aus dem Tech-Umfeld sollen darunter sein – und genau dort vermuten Experten das eigentliche Ziel.
Das wahrscheinliche Motiv: Kryptowährungen für Kim
Die Google-Tochter Mandiant, eine der renommiertesten Firmen für Cyberabwehr und Bedrohungsanalyse, macht eine mutmaßlich nordkoreanische Hackergruppe verantwortlich.
Charles Carmakal, Technikchef von Mandiant, sagte CNN, man gehe davon aus, dass die Angreifer versuchen werden, die durch den Lieferkettenangriff gewonnenen Zugangsdaten und Systemzugriffe zu nutzen, um Kryptowährungen aus Unternehmen zu stehlen.
Mit anderen Worten:
Der Angriff dürfte nicht das Ende, sondern erst der Anfang sein.
Denn solche Operationen laufen häufig in Phasen:
- Einschleusen
- Verstecken
- Zugänge sichern
- Privilegien ausweiten
- Wallets, Schlüssel oder Zahlungswege angreifen
- Abfluss der Beute
Sicherheitsexperten rechnen deshalb mit einer langfristigen Kampagne, deren volles Ausmaß womöglich erst in Monaten sichtbar wird.
Die ersten Opfer sind wohl nur die Spitze des Eisbergs
Bislang ist das Schadensbild noch unvollständig.
Der Sicherheitsforscher John Hammond von Huntress sprach zunächst von rund 135 kompromittierten Geräten bei ungefähr zwölf Unternehmen, die seine Firma bislang identifiziert habe.
Das klingt überschaubar – ist es aber vermutlich nicht.
Denn solche Zahlen sind in den ersten Stunden eines Supply-Chain-Angriffs meist nur ein Ausschnitt. Viele Unternehmen wissen zu diesem Zeitpunkt noch gar nicht, dass sie betroffen sind. Andere entdecken Auffälligkeiten erst bei späteren Analysen. Wieder andere bemerken den Angriff womöglich erst, wenn Geld verschwindet.
Die eigentliche Welle könnte also erst noch kommen.
Nordkoreas digitale Staatskasse
Dass ausgerechnet Nordkorea hinter dem Angriff stehen soll, überrascht Experten kaum.
Das international isolierte Regime von Kim Jong Un hat sich in den vergangenen Jahren zu einer Art Cyber-Kleptokratie mit Atomwaffen entwickelt.
Während andere Staaten Spione schicken, schickt Pjöngjang oft Hacker.
Der Grund ist simpel:
- Das Land leidet unter harten Sanktionen,
- hat nur begrenzten Zugang zum globalen Finanzsystem,
- und braucht dennoch Geld für
- Waffenprogramme,
- Raketenentwicklung,
- Nuklearforschung,
- Elitenversorgung
- und Machterhalt.
Kryptodiebstahl ist für Nordkorea deshalb längst keine Randaktivität mehr, sondern Staatsfinanzierung mit Malware.
Nach Angaben von UN-Berichten und privaten Sicherheitsfirmen haben nordkoreanische Gruppen in den vergangenen Jahren Milliardenbeträge von Banken und Krypto-Unternehmen gestohlen.
Ein besonders drastisches Beispiel:
Im vergangenen Jahr sollen nordkoreanische Hacker bei einem einzigen Angriff 1,5 Milliarden US-Dollar in Kryptowährungen erbeutet haben – damals ein Rekordfall.
Schon 2023 erklärte ein US-Regierungsvertreter, dass etwa die Hälfte des nordkoreanischen Raketenprogramms durch solche digitalen Raubzüge finanziert werde.
Oder in der nüchternen Übersetzung des 21. Jahrhunderts:
Jeder schlecht gesicherte Krypto-Server kann indirekt zum Sponsor eines Raketentests werden.
Nordkorea hackt nicht heimlich – sondern erfolgreich
Was Nordkoreas Cyberstrategie von anderen Staaten unterscheidet, ist nicht nur die Aggressivität, sondern auch die bemerkenswerte Gleichgültigkeit gegenüber Entdeckung.
Während andere Geheimdienste oft Wert auf plausible Abstreitbarkeit legen, scheint Pjöngjang mitunter nach dem Motto zu arbeiten:
Wenn es laut ist, aber funktioniert – umso besser.
Der Bedrohungsanalyst Ben Read von Wiz brachte es auf den Punkt: Nordkorea müsse sich weder um seinen Ruf sorgen noch um spätere diplomatische Verlegenheit. Dass solche Operationen auffallen, sei ein Preis, den das Regime bereitwillig zahle.
Die Rechnung ist zynisch, aber effizient:
- Ein paar internationale Schlagzeilen,
- ein paar Sanktionen mehr, die ohnehin schon da sind,
- dafür Millionen oder Milliarden in digitalen Vermögenswerten.
Ein Angriff zur Unzeit
Besonders heikel ist der Zeitpunkt.
Denn viele Unternehmen automatisieren ihre Softwareentwicklung zunehmend – oft mithilfe von KI-Agenten, automatisierten Build-Prozessen und immer komplexeren Paket-Abhängigkeiten.
Das spart Zeit.
Es erhöht aber auch das Risiko.
Denn je mehr Code automatisch eingebunden wird, desto weniger Menschen schauen noch genau hin, was da eigentlich gerade installiert wird.
Sicherheitsforscher Hammond formulierte es drastisch:
Die größte Schwachstelle der gesamten Software-Lieferkette sei heute die schlichte Tatsache, dass zu viele Leute nicht mehr prüfen, „was in den Zutaten steckt“.
Das Problem ist strukturell:
- Open Source ist allgegenwärtig.
- Abhängigkeiten sind verschachtelt.
- Entwickler nutzen Bibliotheken, die wiederum andere Bibliotheken laden.
- Updates laufen automatisiert.
- Sicherheitsprüfungen hinken hinterher.
So entsteht eine paradoxe Lage:
Die digitale Wirtschaft ist auf gemeinschaftlich entwickelte Software angewiesen – aber genau diese Offenheit macht sie angreifbar.
Ein Déjà-vu mit Ansage
Es ist nicht das erste Mal, dass Nordkorea mit einer solchen Methode auffällt.
Schon vor drei Jahren sollen nordkoreanische Akteure einen anderen populären Softwareanbieter infiltriert haben, dessen Produkte unter anderem in Krankenhäusern und Hotelketten für Sprach- und Videoanwendungen genutzt wurden.
Der aktuelle Fall zeigt erneut:
Pjöngjang greift nicht mehr nur dort an, wo Geld direkt liegt.
Es greift dort an, wo Vertrauen skaliert.
Und das ist im digitalen Zeitalter womöglich noch gefährlicher.
Was jetzt droht
Für betroffene Unternehmen beginnt nun das, was in solchen Fällen meist unangenehm, teuer und unerquicklich ist:
- Forensische Analyse
- Prüfung von Update-Zeitfenstern
- Abgleich kompromittierter Versionen
- Rotation von Zugangsdaten
- Suche nach Persistenzmechanismen
- Prüfung von Cloud- und Wallet-Zugängen
- Monitoring verdächtiger Bewegungen
- Incident Response über Wochen oder Monate
Besonders kritisch dürfte die Lage für Unternehmen sein, die:
- Krypto-Assets verwalten,
- Hot Wallets nutzen,
- automatisierte Deployment-Prozesse fahren,
- oder breit auf Open-Source-Komponenten ohne engmaschige Kontrolle setzen.
Denn selbst wenn der initiale Schadcode entfernt wird, kann ein erfolgreicher Angreifer längst weitere Hintertüren eingebaut haben.
Fazit: Ein Hackerangriff mit geopolitischer Sprengkraft
Der mutmaßlich nordkoreanische Angriff auf eine weit verbreitete Standardsoftware ist mehr als ein technischer Zwischenfall. Er ist ein Beispiel dafür, wie verwundbar die digitale Wirtschaft geworden ist – und wie eng Cyberkriminalität, Geopolitik und nationale Sicherheit inzwischen zusammenhängen.
Wenn sich der Verdacht bestätigt, geht es nicht nur um kompromittierte Server oder gestohlene Coins.
Es geht um ein autoritäres Regime, das mit geklauten Kryptowährungen womöglich Raketen, Nuklearprogramme und Machtpolitik finanziert.
Der Angriff zeigt einmal mehr:
Die gefährlichsten Cyberoperationen beginnen oft nicht mit einem Alarm, sondern mit einem ganz normalen Software-Update.
Kommentar hinterlassen