Datenschutz & Sicherheit
Tastatur-Verzögerung entlarvt nordkoreanischen IT-Maulwurf bei Amazon.com
IT-Fachkräfte aus Nordkorea schleichen sich unter falschen Identitäten bei westlichen Unternehmen ein. Durch Heimarbeit verschaffen sie der nordkoreanischen Regierung Einnahmen, bei Gelegenheit sammeln sie auch regimedienliche Daten. Amazon.com hat einen solchen Maulwurf ausgehoben. Verraten hat ihn die um einen Sekundenbruchteil langsameren Tastaturbedienung.
Weiterlesen nach der Anzeige
Der Datenkonzern hatte den Administrator-Job an einen Personaldienstleister ausgelagert. Dieser meinte, jemanden in Arizona eingestellt zu haben, und Amazon schickte ihre einen Laptop. Darauf installierte Sicherheitssoftware schlug Alarm: Die Laufzeit der zu Amazons Servern übertragenen Tastaturanschläge lag nicht im Bereich einiger Dutzend Millisekunden, sondern bei 110 Millisekunden.

Teil einer nordkoreanischen Laptopfarm in Arizona
(Bild: gemeinfrei)
Das hat Amazons Chief Security Officer Stephen Schmidt dem Nachrichtendienst Bloomberg erzählt. Die längere Verzögerung deutet darauf hin, dass der Benutzer nicht, wie behauptet, in Arizona sitzt, sondern weit weg. Amazon beobachtete die Arbeit des Verdächtigen für einige Tage, ließ sich dessen Stellenbewerbung kommen und ihn schließlich hinausschmeißen.
Denn die Adresse in Arizona entpuppte sich als Haushalt einer Frau, die den Laptop aufgestellt und mit dem Server des nordkoreanischen Maulwurfs verbunden hatte. Außerdem nahm sie die Gehaltszahlungen entgegen und leitete sie weiter. Das war kein Einzelfall: In einem US-Strafverfahren ist sie wegen Einschleusens nordkoreanischer IT-Fachkräften in mehr als 300 US-Unternehmen im Juli zu achteinhalb Jahren Haft verurteilt worden (USA v Christina Chapman, Az. 1:24-cr-00220) US-Bundesbezirksgericht für den District of Coumbia,
Immer mehr nordkoreanische Bewerbungen
„Wenn wir nicht nach nordkoreanischen Arbeitern gesucht hätten, hätten wir ihn nicht gefunden”, sagt Schmidt. Zugriff auf relevante Daten habe der Täter nicht gehabt. Seine Bewerbung habe Muster wiederholt, die schon bei anderen nordkoreanischen IT-Maulwürfen beobachtet wurden. Demnach haben sie Schwierigkeiten mit bestimmten Idiomen und Artikeln der englischen Sprache. Zudem gäben sie oft die gleichen ausländischen Bildungseinrichtungen und früheren Arbeitgeber an, die zu verifizieren für US-Unternehmen nicht simpel ist.
Amazon gibt an, schon eine vierstellige Zahl an Bewerbungen erhalten zu haben, die es als nordkoreanischen Betrugsversuch einstufen konnte. Dieses Jahr sei die Zahl sprunghaft gestiegen. In der direkt beschäftigten Belegschaft will Amazon noch keine heimlichen Nordkoreaner aufgedeckt haben. Im November haben sich in den USA fünf weitere Unterstützer Nordkoreas schuldig bekannt.
Weiterlesen nach der Anzeige
(ds)
Datenschutz & Sicherheit
Sicherheitspatches: Root-Attacken auf IBM Db2 möglich
Angreifer können Computer mit IBM Db2 attackieren, sich im schlimmsten Fall Root-Rechte verschaffen und Systeme im Anschluss kompromittieren. Sicherheitspatches lösen dieses Sicherheitsproblem und einige weitere. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.
Weiterlesen nach der Anzeige
Patches verfügbar
Das Datenbankmanagementsystem ist insgesamt über 17 Softwareschwachstellen angreifbar. Zwei Lücken (CVE-2025-36384, CVE-2025-36184) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Im ersten Fall können sich Angreifer mit Dateisystemzugriff höhere Rechte verschaffen. Im zweiten Fall ist das sogar bis zum Root-Nutzer möglich. In so einer Position ist davon auszugehen, dass Angreifer die volle Kontrolle über Systeme erlangen.
In diesen Fällen schaffen die Sicherheitsupdates Special Build #66394 für IBM Db2 11.5.9, Special Build #71609 für 12.1.3 und Special Build für 12.1.2 Abhilfe. IBMs Entwickler weisen darauf hin, dass davon wahrscheinlich auch Versionen bedroht sind, die sich nicht mehr im Support befinden. Diese Ausgaben bekommen keine Sicherheitsupdates mehr, sie bleiben deshalb verwundbar. Hier müssen Admins auf eine noch unterstützte Version upgraden.
Weitere Gefahren
Die verbleibenden Lücken sind mit „mittel“ eingestuft. An diesen Stellen können Angreifer etwa mit manipulierten Anfragen ansetzen, um DoS-Zustände auszulösen. Weitere Informationen zu den Lücken und Sicherheitsupdates finden sich unterhalb dieser Meldung in den verlinkten Warnmeldungen.
Erst kürzlich haben die Entwickler eine kritische Lücke in IBM Db2 Big SQL geschlossen.
Liste nach Bedrohungsgrad absteigend sortiert:
Weiterlesen nach der Anzeige
(des)
Datenschutz & Sicherheit
OpenSSL: 12 Sicherheitslecks, eines erlaubt Schadcodeausführung und ist kritisch
In der quelloffenen Verschlüsselungsbibliothek OpenSSL haben IT-Forscher 12 Sicherheitslücken entdeckt, eine davon gilt als kritisch. Angreifer können dadurch etwa Schadcode einschleusen. Bemerkenswert ist auch, dass die IT-Sicherheitsforscher die Schwachstellen mit KI-Systemen aufgespürt haben.
Weiterlesen nach der Anzeige
Das berichten die Mitarbeiter von Aisle in einem Blog-Beitrag. Ein Stack-basierter Pufferüberlauf kann beim Verarbeiten von „CMS AuthEnvelopeData“-Nachrichten mit bösartig manipulierten AEAD-Parametern durch verwundbare OpenSSL-Versionen auftreten. Das führt unter Umständen zu einem Absturz und dadurch zu einem Denial-of-Service; alkternativ kann jedoch auch Schadcode aus dem Netz zur Ausführung gelangen, erklärt das OpenSSL-Projekt in der Schwachstellenbeschreibung. Der Überlauf tritt vor einer Authentifizierung auf, es sind daher keine gültigen Keys oder Bestandteile davon nötig (CVE-2025-15467, CVSS 9.8, Risiko „kritisch“). Die US-amerikanische IT-Sicherheitsbehörde CISA kommt zu der höheren Risikoeinschätzung – das OpenSSL-Projekt selbst stuft das Sicherheitsleck lediglich als Risiko „hoch“ ein.
Eine zweite Sicherheitslücke besteht in der fehlenden Überprüfung einiger Parameter in PKCS#12-Zertifikatsdateien. Sorgsam präparierte Einträge können einen Stack-basierten Pufferüberlauf oder eine Null-Pointer-Dereferenz mit anschließendem Absturz der Software auslösen oder möglicherweise eingeschleusten Schadcode ausführen. Da es unüblich ist, nicht vertrauenswürdigen PKCS#12-Dateien in Apps zu vertrauen, da sie in der Regel private Schlüssel beherbergen, stufen die OpenSSL-Entwickler die Lücke als moderat ein (CVE-2025-11187, CVSS 6.1, Risiko „mittel“).
OpenSSL: Viele Lücken mit niedrigem Risiko
Die restlichen zehn Schwachstellen wurden lediglich als niedriges Sicherheitsrisiko eingestuft: Die Sicherheitslecks mit den Schwachstelleneinträgen CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795 und CVE-2026-22796 können Angreifer im Wesentlichen für Denial-of-Service-Angriffe missbrauchen.
Die Sicherheitslücken stopfen die OpenSSL-Versionen 3.6.1, 3.5.5, 3.4.4, 3.3.6 und 3.0.19. Einige der als niedriges Risiko eingestuften Lücken betreffen auch ältere Versionen, dort sollen OpenSSL 1.1.1ze und OpenSSL 1.0.2zn für Premium-Support-Kunden bereitstehen. IT-Verantwortliche sollten aufgrund der kritischen Sicherheitslücke die Updates zügig installieren.
Dass die Schwachstellen mittels KI-Tools von Aisle entdeckt wurden, überrascht ein wenig. Das curl-Projekt hat etwa sein Bug-Bounty-Programm eingestellt, da es von unbrauchbaren KI-Schwachstellenmeldungen überflutet wurde. Der Aufwand, die teils plausibel klingenden Meldungen zu untersuchen und am Ende herauszufinden, dass es sich um Halluzinationen oder einfach erschwindelte Lücken handelte, uferte zu sehr aus.
Weiterlesen nach der Anzeige
(dmk)
Datenschutz & Sicherheit
KI-Bot: OpenClaw (Moltbot) mit hochriskanter Codeschmuggel-Lücke
Der dienstbare KI-Bot OpenClaw, auch als Moltbot oder ehedem ClawdBot bekannt, enthält eine schwerwiegende Sicherheitslücke. Angreifer können dadurch Authentifizierungstoken abgreifen und damit am Ende beliebigen Code auf dem Gateway eines Opfers ausführen.
Weiterlesen nach der Anzeige
In der Schwachstellenbeschreibung erklärt der Entwickler Peter Steinberger, dass die Kontroll-Bedienoberfläche dem Parameter gatewayUrl einer Anfrage ohne Prüfung vertraue und beim Laden automatisch dorthin verbindet. Dabei überträgt sie den Zugriffstoken zum Gateway in den WebSocket-Verbindungsdaten. Dadurch kann ein Klick auf einen präparierten Link oder der Besuch einer bösartigen Webseite den Token an von Angreifern kontrollierten Servern übertragen, die sich damit auf dem Gateway anmelden können. Dort können sie die Konfiguration ändern, etwa bezüglich Sandbox und Tool-Richtlinien, sowie Aktionen mit höheren Rechten ausführen (CVE-2026-25253, CVSS 8.8, Risiko „hoch“).
Es handelt sich damit um eine 1-Klick-Codeschmuggel-Lücke. Da der Webbrowser des Opfers als Brücke diene, können Angreifer die Lücke auch dann missbrauchen, wenn das Gateway nur an das loopback-Interface angebunden ist. Betroffen sind Versionen von OpenClaw/Moltbot bis einschließlich 2026.1.28. Version 2026.1.29 dichtet das Sicherheitsleck ab. Wer sich den KI-Bot installiert hat, sollte daher so schnell wie möglich auf die fehlerkorrigierte Fassung aktualisieren.
Moltbot: Mächtiger KI-Bot
Der ursprünglich unter dem Namen „Clawdbot“ und aufgrund der Namensähnlichkeit zu Anthropics KI Claude dann in „Moltbot“ umbenannte entwickelte KI-Assistent hat einen extremen Hype ausgelöst. Allein auf Github hat er inzwischen fast 150.000 Sterne-Wertungen zum Meldungszeitpunkt – noch einmal ein großer Anstieg seit vergangener Woche. Der KI-Assistent ist sehr mächtig und kann viele Aktionen ausführen, auch mit hohen Rechten direkt auf dem System, auf dem er installiert ist. c’t 3003 hat sich in der jüngsten Ausgabe den KI-Bot genauer angesehen und mit dessen Wiener Entwickler Peter Steinberger gesprochen.
(dmk)
-
Entwicklung & Codevor 3 MonatenKommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
-
Künstliche Intelligenzvor 1 MonatSchnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
-
Apps & Mobile Entwicklungvor 2 MonatenHuawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
-
Apps & Mobile Entwicklungvor 2 MonatenFast 5 GB pro mm²: Sandisk und Kioxia kommen mit höchster Bitdichte zum ISSCC
-
Entwicklung & Codevor 2 MonatenKommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
-
Social Mediavor 2 MonatenDie meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
-
Datenschutz & Sicherheitvor 2 MonatenSyncthing‑Fork unter fremder Kontrolle? Community schluckt das nicht
-
Künstliche Intelligenzvor 3 MonatenWeiter billig Tanken und Heizen: Koalition will CO₂-Preis für 2027 nicht erhöhen
