Konni attackiert Blockchain‑Entwickler: Phishing, PowerShell‑Backdoor und KI‑Hinweise

27.01.2026 | Allgemein, KI

Konni attackiert Blockchain‑Entwickler Phishing, PowerShell‑Backdoor und KI‑Hinweise

Konni attackiert Blockchain‑Entwickler, warnt Checkpoint.

In Kürze

  • Phishing mit Projektdateien
  • Ziel: API und Wallet‑Zugänge
  • PowerShell‑Backdoor, LLM‑Hinweise

Sicherheitsforscher von Checkpoint melden, dass die nordkoreanisch verknüpfte Cyberkriminalitätsgruppe „Konni“ gezielt Entwicklerteams ins Visier nimmt, die Zugriff auf Blockchain‑Ressourcen haben.

Die Angreifer verschicken Phishing‑Nachrichten mit scheinbar legitimen Projektunterlagen — etwa Architektur‑Skizzen, Tech‑Stacks oder Zeitpläne — um Entwickler dazu zu bringen, schadhaften Code auszuführen.

Die Masche

Infizierte Projektdateien sollen Entwicklungsumgebungen kompromittieren und so an sensible Daten gelangen. Im Fokus stehen:

  • API‑Zugangsdaten
  • Wallet‑Logins
  • Infrastrukturzugänge
  • letztlich Krypto‑Bestände

Laut Checkpoint zielen die Angreifer damit direkt auf den Diebstahl von Kryptowährungen und zugehörigen Zugangsdaten ab.

Besonders auffällig: PowerShell‑Backdoor

Besonders auffällig ist eine PowerShell‑Backdoor, die die Forscher fanden. Der Code ist ungewöhnlich sauber strukturiert und mit menschenlesbaren Kommentaren versehen — etwa eine Erklärung, dass das Script alle 13 Minuten Systeminformationen per HTTP verschickt. Auch ein kommentierter Platzhalter wie „# <- your permanent project UUID“ fällt auf. Diese klare Aufteilung in logisch abgegrenzte Abschnitte und die naturgemäß hilfreichen Kommentare gelten als Indizien dafür, dass beim Erstellen des Codes ein großes Sprachmodell (LLM) oder eine andere KI Unterstützung geleistet haben könnte. Einen eindeutigen Beweis für den Einsatz von KI liefert Checkpoint nicht, die Hinweise wertet das Team jedoch als stark.

Analyse, IOCs und Empfehlungen

In seiner Analyse beschreibt Checkpoint außerdem die Funktionen der Skripte, dokumentiert mögliche Infektionsketten und stellt eine Liste von Indicators of Compromise (IOCs) bereit — also konkrete Hinweise, an denen sich eine Kompromittierung erkennen lässt. Die Firma betont, dass Entwickler mit Zugriff auf Blockchain‑Infrastruktur besonders vorsichtig mit Projektdateien aus externen Quellen umgehen sollten und gängige Schutzmaßnahmen prüfen sollten.

Checkpoint hat seine Erkenntnisse inklusive technischer Details und IOCs veröffentlicht, damit Verteidiger:innen die Angriffe nachvollziehen und Gegenmaßnahmen ergreifen können.

Quellen

  • Quelle: Checkpoint / Konni
  • Der ursprüngliche Artikel wurde hier veröffentlicht
  • Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.

💡Über das Projekt KI News Daily

Dieser Artikel wurde vollständig mit KI generiert und ist Teil des Projektes KI News Daily der Pickert GmbH.

Wir arbeiten an der ständigen Verbesserung der Mechanismen, können aber leider Fehler und Irrtümer nicht ausschließen. Sollte dir etwas auffallen, wende dich bitte umgehend an unseren Support und feedback[at]pickert.io

Vielen Dank! 🙏

Das könnte dich auch interessieren…