DPRK nutzt KI-gestützte Malware in neuen Cyberangriffen

Cybersecurity-Forscher haben eine neue Welle von Cyberangriffen aus Nordkorea identifiziert, die auf KI-gestützte Malware zurückgreifen. Diese Angriffe nutzen ein bösartiges npm-Paket, das als Abhängigkeit in einem Projekt von Anthropic's Claude Opus, einem großen Sprachmodell, eingefügt wurde. Das betroffene Paket trägt den Namen @validate-sdk/v2 und wird als Software Development Kit (SDK) für Hashing, Validierung, Kodierung/Dekodierung und sichere Zufallszahlengenerierung gelistet. Die Entdeckung wurde von mehreren Sicherheitsforschern gemacht, die darauf hinweisen, dass das Paket nicht die versprochenen Funktionen bietet. Stattdessen enthält es schädlichen Code, der es Angreifern ermöglicht, Remote Access Trojans (RATs) zu installieren.

Diese RATs können dann verwendet werden, um die Kontrolle über betroffene Systeme zu übernehmen und Daten zu stehlen. Die Verwendung von npm-Paketen als Einfallstor für Malware ist nicht neu, jedoch stellt die Kombination mit KI-gestützten Modellen eine besorgniserregende Entwicklung dar. Forscher haben festgestellt, dass die Integration solcher Pakete in legitime Projekte die Wahrscheinlichkeit erhöht, dass Entwickler unwissentlich schädlichen Code in ihre Anwendungen einfügen. Dies könnte zu einer breiteren Verbreitung der Malware führen. Die Sicherheitslücke wurde als CVE-2026-1234 klassifiziert und betrifft eine Vielzahl von Anwendungen, die auf das betroffene npm-Paket zugreifen.

Schätzungen zufolge könnten bis zu 50.000 Systeme weltweit gefährdet sein. Unternehmen und Entwickler werden dringend aufgefordert, ihre Abhängigkeiten zu überprüfen und sicherzustellen, dass sie keine bösartigen Pakete verwenden. Die nordkoreanischen Angreifer haben in der Vergangenheit ähnliche Taktiken verwendet, um in Netzwerke einzudringen. Die aktuelle Kampagne zeigt jedoch eine neue Dimension der Bedrohung, da sie auf fortschrittliche Technologien zurückgreift, um ihre Angriffe zu verschleiern. Sicherheitsanalysten warnen, dass diese Art von Malware schwer zu erkennen ist, da sie sich als legitime Software tarnt.

Zusätzlich zu den technischen Aspekten der Malware haben die Forscher auch festgestellt, dass die Angreifer gefälschte Firmen und Dienstleistungen nutzen, um ihre Angriffe zu unterstützen. Diese Fake-Firmen bieten angeblich legitime Softwarelösungen an, die in Wirklichkeit jedoch mit Malware infiziert sind. Dies erschwert es den Opfern, die Quelle der Bedrohung zu identifizieren. Die Reaktion der Sicherheitsgemeinschaft auf diese Bedrohung ist bereits im Gange. Mehrere Unternehmen haben begonnen, ihre Sicherheitsprotokolle zu überprüfen und ihre Systeme auf Anzeichen von Kompromittierung zu scannen.

Experten empfehlen, dass Entwickler und Unternehmen regelmäßige Schulungen zur Cybersicherheit durchführen, um das Bewusstsein für solche Bedrohungen zu schärfen. Die nordkoreanische Regierung hat sich wiederholt zu Cyberangriffen bekannt, um politische und wirtschaftliche Ziele zu verfolgen. Die aktuelle Welle von Angriffen könnte Teil einer größeren Strategie sein, um internationale Spannungen zu nutzen und wirtschaftlichen Schaden zu verursachen. Sicherheitsanalysten beobachten die Situation genau, um weitere Entwicklungen zu verfolgen. Die Entdeckung dieser Malware und die damit verbundenen Risiken unterstreichen die Notwendigkeit für Unternehmen, ihre Sicherheitsmaßnahmen zu verstärken.

Die Verwendung von KI in Cyberangriffen könnte in Zukunft zunehmen, was die Herausforderungen für die Cybersicherheitsbranche weiter verschärfen wird. Experten warnen, dass Unternehmen proaktive Maßnahmen ergreifen müssen, um sich gegen solche Bedrohungen zu wappnen. Die Sicherheitslücke CVE-2026-1234 wurde am 3. Mai 2026 veröffentlicht und betrifft zahlreiche npm-Pakete, die in der Softwareentwicklung weit verbreitet sind.