DE
EN
BeaverTail ist eine JavaScript-basierte Malware-Familie, die hauptsächlich über bösartige oder trojanisierte NPM-Pakete verbreitet wird. BeaverTail ist seit mindestens 2022 aktiv und entwickelt sich ständig weiter. Es wurde entwickelt, um sensible Informationen zu stehlen und als Loader für zusätzliche Malware-Stufen zu fungieren, insbesondere für eine Python-basierte Hintertür namens InvisibleFerret. Jüngste Untersuchungen haben neuere BeaverTail-Varianten mit nordkoreanischen Bedrohungsclustern in Verbindung gebracht, die mit der Lazarus-Gruppe in Verbindung stehen, was seine Rolle bei finanziell motivierten und spionagegesteuerten Kampagnen unterstreicht.
Informationen über „BeaverTail Malware“
| Name der Malware | BeaverTail |
|---|---|
| Art der Bedrohung | Information Stealer / Malware Loader |
| Zugeschriebener Bedrohungsakteur | Lazarus-Gruppe (DPRK-verbunden) |
| Zuerst beobachtet | 2022 |
| Primärsprache | JavaScript |
| Betroffene Plattformen | Windows, macOS, Linux |
| Zugehörige Nutzlasten | InvisibleFerret, OtterCookie |
Verbreitungsmethoden und Erstzugriff
BeaverTail wird am häufigsten über Software-Lieferkettenangriffe verbreitet, die das Vertrauen in Open-Source-Entwicklungsökosysteme ausnutzen. Bedrohungsakteure laden bösartige NPM-Pakete in öffentliche Repositories hoch oder schleusen BeaverTail-Code in ansonsten legitime Projekte ein. In einigen Fällen bleiben diese Pakete lange genug verfügbar, um vor der Erkennung Tausende Male heruntergeladen zu werden.
Zusätzliche Bereitstellungsmechanismen, die in den letzten Kampagnen beobachtet wurden, umfassen gefälschte Vorstellungsgesprächs-Plattformen, die sich als technische Bewertungen ausgeben, sowie sogenannte „ClickFix“-Köder, die Benutzer dazu verleiten, Betriebssystembefehle auszuführen. Diese Befehle laden die Malware im Hintergrund herunter und führen sie aus, wodurch herkömmliche browserbasierte Sicherheitskontrollen umgangen werden.
Technische Fähigkeiten und Verhalten
- BeaverTail fungiert sowohl als Information Stealer als auch als Malware Loader und sammelt Systemdetails wie Benutzernamen, Hostnamen und Plattformmetadaten.
- Die Malware ist stark verschleiert und verwendet mehrschichtige Base64- und XOR-Codierung, um statische Analysen und signaturbasierte Erkennung zu vermeiden.
- Nach der Ausführung versucht sie, Command-and-Control-Server zu kontaktieren, um Folge-Payloads abzurufen, einschließlich der InvisibleFerret-Hintertür.
- Zu den beobachteten Fähigkeiten gehören Keylogging, Überwachung der Zwischenablage, Erfassung von Screenshots und Erfassung von Browserdaten.
- Die Malware zielt speziell auf Kryptowährungs-Wallets und gespeicherte Zahlungsdaten ab, einschließlich Kreditkarteninformationen.
Evolution und Kontext des Bedrohungsakteurs
Sicherheitsforscher haben beobachtet, wie sich BeaverTail zu einem modularen, plattformübergreifenden Framework entwickelt hat, das auf Windows-, macOS- und Linux-Systemen ausgeführt werden kann. Im Jahr 2025 wurde beobachtet, dass BeaverTail Funktionen mit einer anderen DPRK-verbundenen Malware-Variante namens OtterCookie zusammenführte, wodurch seine Browserprofilierungs-, Wallet-Targeting- und Remote-Zugriffsfunktionen durch legitime Tools wie AnyDesk erheblich erweitert wurden.
Diese Konvergenz spiegelt eine breitere Eskalation der Handwerkskunst wider und verwandelt BeaverTail von einem leichten JavaScript-Stealer in ein ausgeklügeltes, mehrstufiges Intrusion-Framework, das für langfristigen Finanzdiebstahl und Überwachung optimiert ist.
Fazit
Obwohl BeaverTail keine Ransomware ist, stellt es aufgrund seiner Rolle bei der Kompromittierung der Lieferkette, dem Finanzdiebstahl und der Bereitstellung fortschrittlicher Malware eine ernsthafte Cyber-Bedrohung dar. Seine fortgesetzte Entwicklung und Verbindung mit einem staatlich ausgerichteten Bedrohungsakteur unterstreichen die wachsenden Risiken für Organisationen, die auf Open-Source-Software und kollaborative Entwicklungsplattformen angewiesen sind.
Als Spezialisten für Cyber-Vorfälle mit hoher Auswirkung unterstützen wir Organisationen bei der Identifizierung, Eindämmung und Reaktion auf fortschrittliche Malware-Intrusionen durch unseren Incident Response Retainer. Eine frühzeitige Untersuchung und eine entschlossene Reaktion sind unerlässlich, um die Gefährdung zu begrenzen und weitere Kompromittierungen zu verhindern.
Letzte Aktualisierung: 19. Dezember 2025
Ähnliche Posts
Das Aufkommen der Osiris-Ransomware
Osiris ist eine neu identifizierte Ransomware-Variante, die Ende 2025 nach einem gezielten Angriff auf einen großen Gastronomiebetrieb in Südostasien auftauchte. Im Gegensatz zu der älteren Malware, die 2016 den gleichen Namen trug, ist diese Osiris-Ransomware ein völlig neuer Strang, der von erfahrenen Bedrohungsakteuren entwickelt und eingesetzt wird. Die Malware kombiniert fortschrittliche Verschlüsselung mit auf Tarnung […]
26.01.2026
News Week: 19. Januar bis 25. Januar 2025
Spear-Phishing über Werbeinfrastruktur Eine kürzlich aufgedeckte Spear-Phishing-Operation demonstriert, wie Angreifer Online-Werbemechanismen missbrauchen, um fortschrittliche Malware zu verbreiten. In dieser Kampagne, bekannt als Operation Poseidon, leiten sorgfältig erstellte Phishing-E-Mails die Opfer über legitime Google Ads Tracking-Domains um, bevor sie zu kompromittierten Websites führen, die bösartige Nutzlasten hosten. Indem sie schädliche Ziele in vertrauenswürdigen Werbeparametern verstecken, reduzieren […]
26.01.2026
Das Aufkommen der DeadLock-Ransomware
DeadLock, erstmals im Juli 2025 identifiziert, ist eine neu entdeckte Ransomware-Variante, die aufgrund fehlender öffentlicher Partnerprogramme und des Fehlens einer bekannten Datenleak-Seite weitgehend unbemerkt geblieben ist. Trotz ihrer bisher geringen Bekanntheit stellt DeadLock eine ernsthafte Bedrohung dar, da sie traditionelle Dateiverschlüsselung mit innovativen Infrastrukturtechniken kombiniert. Sobald ein System kompromittiert ist, verschlüsselt DeadLock die Daten des […]
19.01.2026
Nachrichtenwoche: 12. Januar bis 18. Januar 2025
Unbegrenzte Dateinamenbehandlung birgt das Risiko von Speicherbeschädigung Eine neu identifizierte Schwachstelle verdeutlicht eine schwerwiegende Schwäche in der Art und Weise, wie das untgz-Dienstprogramm in zlib Benutzereingaben verarbeitet. In betroffenen Builds kann ein speziell entwickelter Befehlszeilenparameter einen globalen Pufferüberlauf auslösen, bevor überhaupt Archivinhalte verarbeitet werden. Das Problem entsteht durch das direkte Kopieren eines Archivnamens in einen […]
19.01.2026Sie sehen gerade einen Platzhalterinhalt von Wistia. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen