Neue Malware-Kampagne zielt auf Krypto-Entwickler und DeFi-Plattformen ab.
Cybersicherheitsforscher haben eine großangelegte Angriffswelle der nordkoreanischen Hackergruppe Sapphire Sleet aufgedeckt. Seit Anfang Juni 2026 sind vor allem Entwickler im Bereich Kryptowährungen und Dezentrales Finanzwesen (DeFi) das Ziel. Die Angreifer setzen dabei auf eine speziell entwickelte macOS-Schadsoftware, die digitale Geldbörsen und sensible Zugangsdaten kompromittieren soll.
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen durch professionelle Hackergruppen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie Ihre IT-Infrastruktur proaktiv absichern, bevor es zu spät ist. Kostenloses Cyber Security E-Book jetzt herunterladen
Per LinkedIn und Telegram in die Falle gelockt
Die Kampagne richtet sich gezielt gegen Web3-Entwickler, Risikokapitalfirmen und Krypto-Organisationen. Die Täter nutzen Social-Engineering-Taktiken auf Plattformen wie LinkedIn und Telegram, um ersten Kontakt zu ihren Opfern herzustellen.
Der entscheidende Infektionsweg ist eine raffinierte „ClickFix“-Methode: Die Opfer werden aufgefordert, eine vermeintliche Zoom-Softwareaktualisierung herunterzuladen. Die Datei trägt den harmlos klingenden Namen „Zoom SDK Update.scpt“. Wird sie ausgeführt, missbraucht die Schadsoftware die macOS-Finder-Berechtigungen, um die üblichen Datenschutzkontrollen zu umgehen. So erhalten die Angreifer Zugriff auf geschützte Systembereiche – ohne dass die üblichen Sicherheitswarnungen ausgelöst werden.
Krypto-Wallets und SSH-Schlüssel im Visier
Die von Sapphire Sleet eingesetzte Malware ist hochspezialisiert auf die Fintech-Branche. Die Gruppe, die bereits seit 2020 aktiv ist, hat Werkzeuge entwickelt, die Daten aus gängigen Kryptowallets wie Exodus und Ledger Live extrahieren können.
Doch die Angreifer geben sich nicht mit digitalen Währungen zufrieden. Die Schadsoftware zielt auch auf technische Zugangsdaten und Kommunikationsdaten ab. Sie stiehlt SSH-Schlüssel, Telegram-Sitzungen und Informationen aus Apple Notes. Mit diesen gestohlenen Daten verschaffen sich die Hacker oft Zugang zur gesamten Unternehmensinfrastruktur und können sich seitlich durch die Netzwerke bewegen.
Ob CEO-Fraud oder gefälschte Updates – Hacker nutzen gezielt psychologische Schwachstellen aus, um in Unternehmensnetzwerke einzudringen. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Sie Ihr Unternehmen in 4 Schritten effektiv schützen. Anti-Phishing-Paket für Unternehmen kostenlos anfordern
Lazarus-Gruppe mit eigener Offensive
Parallel dazu hat die berüchtigte Lazarus-Gruppe (auch als Chollima bekannt) eine Operation namens „Mach-O Man“ gestartet. Diese zielt mit einem modularen macOS-Malware-Toolkit auf Führungskräfte im Fintech- und Kryptosektor ab.
Die Taktik: Die Angreifer versenden gefälschte Meeting-Einladungen. Versucht das Opfer, dem Meeting beizutreten, wird es aufgefordert, ein modulares Schadsoftwarepaket zu installieren. Dieses löscht sich nach erfolgreicher Datenexfiltration selbst – ein raffinierter Trick, um der Entdeckung zu entgehen. Branchenanalysten von CertiK berichten, dass die Lazarus-Gruppe allein in den zwei Wochen vor Anfang Juni 2026 über 500 Millionen Euro an digitalen Vermögenswerten durch Angriffe auf Drift und Kelp DAO erbeutet hat.
Künstliche Intelligenz als Brandbeschleuniger
Die Angriffe werden zunehmend raffinierter. Sicherheitsforscher von Mandiant beobachten seit November 2025 eine deutliche Zunahme KI-gestützter Attacken. Diese technologische Entwicklung fällt mit Rekorddiebstählen zusammen: Nordkoreanischen Hackergruppen werden allein im April 2026 Kryptodiebstähle in Höhe von rund 578 Millionen Euro zugeschrieben.
Die Industrie reagiert. Infrastrukturanbieter wie Apple und Microsoft haben Maßnahmen ergriffen, um die genutzten schädlichen Domains und Serverumgebungen zu unterbinden. Organisationen wie Ripple teilen Bedrohungsdaten mit der Crypto ISAC, um die Branche besser gegen diese anhaltenden Bedrohungen zu schützen.
Sicherheitsexperten empfehlen Fachleuten im Fintech-Sektor, für Vorstellungsgespräche isolierte virtuelle Umgebungen zu nutzen. Sie warnen eindringlich davor, Software zu installieren oder Terminal-Befehle auszuführen, die von unbekannten Dritten während des Rekrutierungsprozesses bereitgestellt werden.
