Der 1. April 2026 wird in der Krypto-Branche als Lehrstück in die Geschichte eingehen. Der auf Solana basierende dezentrale Börse (DEX) Drift wurde Opfer eines gewaltigen Diebstahls in Höhe von 285 Millionen US-Dollar. Doch anders als bei vielen früheren DeFi-Hacks lag das Problem nicht in einem fehlerhaften Smart Contract. Wie Drift nun enthüllte, war der Angriff das Ergebnis einer über sechs Monate laufenden, akribisch geplanten Spionage- und Manipulationsoperation, die direkt auf das Konto nordkoreanischer Staatshacker geht.
Ein Trojanisches Pferd in maatgeschneidertem Anzug
Die Kampagne, die mit mittlerer Sicherheit der Gruppe UNC4736 zugeordnet wird (auch bekannt als Golden Chollima, AppleJeus oder Citrine Sleet), begann bereits im Herbst 2025. Die Täter traten auf internationalen Krypto-Konferenzen als angebliches quantitatives Handelsunternehmen auf und knüpften gezielt Kontakte zu Drift-Mitarbeitern. Wie Drift betont, handelte es sich nicht um offensichtliche Betrüger: Die Personen waren technisch versiert, verfügten über verifizierbare berufliche Hintergründe und erschienen persönlich auf den Events – allerdings nicht als nordkoreanische Staatsbürger, sondern als Drittpersonen, die von UNC4736 für die Face-to-Face-Beziehungsarbeit eingesetzt wurden.
Das Ausmaß der Vorbereitung ist alarmierend. Nach dem ersten Meeting wurde eine Telegram-Gruppe gegründet, in der über Monate hinweg fundierte Gespräche über Handelsstrategien und Vault-Integrationen geführt wurden. Zwischen Dezember 2025 und Januar 2026 hinterlegte die Gruppe sogar über eine Million Dollar eigener Mittel, um einen Ecosystem Vault auf Drift zu starten. Dieser Schritt war hochkalkuliert: Er etablierte eine funktionierende operative Präsenz im Ökosystem und baute massiv Vertrauen auf. Erst im Vorfeld des eigentlichen Hacks am 1. April wurden dann spurlos die Telegram-Chats und die verbreitete Malware gelöscht.
Der Angriffsweg: Deine Development-Umgebung ist das neue Schlachtfeld
Die Täter nutzten zwei primäre Angriffsvektoren, die beide auf das menschliche Vertrauen abzielten. Ein Mitarbeiter wurde kompromittiert, nachdem er ein Code-Repository geklont hatte, das die Gruppe als Teil eines Frontend-Projekts geteilt hatte. Hier nutzten die Hacker eine tückische Methode: Ein bösartiges Microsoft Visual Studio Code (VS Code) Projekt manipulierte die Datei tasks.json so, dass beim bloßen Öffnen des Projekts im IDE sofort Schadcode ausgeführt wurde (runOn: folderOpen). Diese Technik, die seit Dezember 2025 im Rahmen der "Contagious Interview"-Kampagne nordkoreanischer Hacker beobachtet wird, veranlasste Microsoft immerhin, in den VS Code Versionen 1.109 und 1.110 neue Sicherheitskontrollen einzuführen. Ein zweiter Mitarbeiter wurde überredet, eine Wallet-App über Apples TestFlight herunterzuladen und zu testen.
Nordkoreas fragmentierte Cyber-Armee
Der Drift-Hack ist kein Einzelfall, sondern Teil einer systematischen Finanzbeschaffung für das nordkoreanische Regime. Wie CrowdStrike anmerkt, ist Golden Chollima darauf spezialisiert, kleinere Fintech-Firmen für kontinuierliche Einnahmen zu attackieren. Das Geld fließt direkt in Rüstungsprojekte, darunter nuklear angetriebene U-Boote und Aufklärungssatelliten.
Dabei passt sich die DPRK den Gegebenheiten an. Laut einem aktuellen Bericht von DomainTools Investigations (DTI) hat die nordkoreanische Cyber-Infrastruktur ein „vorsätzlich fragmentiertes“ Malware-Ökosystem etabliert. Die Aufgabentrennung ist strikt: Kimsuky fokussiert sich auf Spionage, Lazarus Group fungiert als zentrale Säule zur illegalen Revenue-Generierung und Sanktionsumgehung, während Andariel für destruktive Ransomware- und Wiper-Angriffe zur strategischen Signalgebung zuständig ist. Diese Fragmentierung erschwert die Zuordnung und verhindert, dass die Aufdeckung einer Operation das gesamte Netzwerk zum Einsturz bringt.
Der globalisierte IT-Arbeiter-Betrug
Neben direkten Hacks wie bei Drift greift Nordkorea zunehmend auf den sogenannten IT-Arbeiter-Betrug zurück. Mithilfe gestohlener Identitäten, KI-generierter Personas und sogenannter Laptop-Farms in den USA schleusen sich nordkoreanische Operative in Remote-Stellen westlicher Unternehmen ein. Neu ist dabei die Erkenntnis von Flare und IBM X-Force, dass die DPRK ihre Rekrutierungspipeline massiv globalisiert hat. Aktuell werden gezielt Entwickler aus dem Iran, Syrien, Libanon und Saudi-Arabien angeworben, um westliche Identitäten noch glaubhafter zu imitieren. Sogenannte "Caller" übernehmen für diese tatsächlichen Entwickler die technischen Interviews bei US-Unternehmen und erhalten bei Misserfolg direktes Feedback von den Facilitatoren, um beim nächsten Versuch besser abzuschneiden.
Fazit: Der Mensch als schwächstes Glied
Der Angriff auf Drift markiert einen Paradigmenwechsel in der Bedrohungslage. Wenn Angreifer bereit sind, über ein halbes Jahr Vertrauen aufzubauen, auf Konferenzen persönlich aufzutreten und siebenstellige Summen als Köder zu investieren, dann versagen klassische Due-Diligence- und KYC-Prozesse (Know Your Customer). Krypto-Projekte und Fintechs müssen begreifen, dass die Supply Chain nicht bei Code-Paketen aus dem npm-Repository endet. Die Development-Umgebung der eigenen Mitarbeiter – vom VS Code Workspace bis zum TestFlight-Download – ist zur neuen Frontlinie geworden. Zero-Trust für Entwickler und strikte Isolierung von Entwicklungs- und Produktionsumgebungen sind keine Option mehr, sondern zwingende Notwendigkeit.
Quelle: The Hacker News
