Security

Contagious Interview Malware greift Entwickler an

3 Min. Lesezeit

Zusammenfassung

Microsoft warnt vor der laufenden Kampagne „Contagious Interview“, bei der Angreifer den Bewerbungsprozess gezielt nutzen, um Softwareentwickler über gefälschte Recruiter, manipulierte Code-Repositories, trojanisierte NPM-Pakete und missbrauchte VS-Code-Tasks zu kompromittieren. Das ist besonders kritisch, weil Entwickler oft Zugriff auf Quellcode, CI/CD-Pipelines, Cloud-Umgebungen und sensible Zugangsdaten haben – und ein erfolgreicher Erstzugriff so schnell zu weitreichenden Unternehmensschäden führen kann.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung

Microsofts aktuelle Bedrohungsforschung hebt ein wachsendes Risiko für Unternehmen hervor, die Softwareentwickler beschäftigen: Angreifer missbrauchen inzwischen den Einstellungsprozess selbst als Vektor für den Erstzugriff. Die Kampagne Contagious Interview zeigt, wie technische Interviews, Coding-Challenges und die Ansprache durch Recruiter als Waffe genutzt werden können, um Entwickler-Endpunkte zu kompromittieren, die häufig Zugriff auf Source Code, CI/CD-Pipelines, Cloud-Umgebungen und privilegierte Secrets haben.

Was ist neu

Microsoft zufolge ist die Kampagne seit mindestens Dezember 2022 aktiv und wird weiterhin in Kundenumgebungen erkannt. Die Operation zielt in erster Linie auf Entwickler bei Anbietern von Enterprise-Lösungen sowie bei Medien- und Kommunikationsunternehmen ab.

Beobachtete zentrale Taktiken sind unter anderem:

  • Gefälschte Recruiter-Ansprache unter dem Deckmantel von Kryptowährungs- oder AI-Unternehmen
  • Bösartige Code-Repositories auf GitHub, GitLab oder Bitbucket
  • Trojanisierte NPM-Pakete, die als Teil von Take-Home-Assessments oder Coding-Tests verwendet werden
  • Missbrauch von Visual Studio Code-Tasks, bei dem das Vertrauen in einen Repository-Autor bösartige Task-Konfigurationsdateien auslösen kann
  • Paste-and-run-Befehle, die auf gefälschten Interview-Websites als Lösung für inszenierte technische Probleme präsentiert werden

Microsoft beobachtete außerdem mehrere Payloads und Backdoors, die mit der Kampagne in Verbindung stehen:

  • Invisible Ferret: eine Python-basierte Backdoor für die Remote-Ausführung von Befehlen, Reconnaissance und Persistenz
  • FlexibleFerret: eine modulare Backdoor in Varianten für Go und Python, mit Unterstützung für verschlüsseltes C2, das Laden von Plugins, Exfiltration, Persistenz und laterale Bewegung

Warum das für IT-Admins wichtig ist

Diese Kampagne ist besonders bemerkenswert, weil sie Nutzer während eines Geschäftsprozesses mit hohem Vertrauen und hohem Druck angreift. Entwickler führen mit höherer Wahrscheinlichkeit Code aus, installieren Abhängigkeiten oder vertrauen Repositories, wenn sie glauben, an einem legitimen Interview teilzunehmen.

Für Verteidiger ist das Risiko erheblich:

  • Entwicklergeräte speichern häufig API keys, Cloud-Anmeldedaten, Signaturzertifikate und Passwortmanager-Daten
  • Kompromittierte Endpunkte können zu Source-Code-Diebstahl, einer Kompromittierung von Pipelines oder breiterem Cloud-Zugriff führen
  • Angreifer verlassen sich auf legitime Tools und Workflows, was die Erkennung schwieriger macht als bei herkömmlichen Methoden zur Malware-Verteilung

Empfohlene nächste Schritte

Unternehmen sollten Recruiting-Workflows als Teil ihrer Angriffsfläche betrachten.

Sofortmaßnahmen

  • Coding-Tests und Take-Home-Aufgaben sollten in isolierten, nicht persistenten Umgebungen wie wegwerfbaren VMs durchgeführt werden
  • Das Ausführen von durch Recruiter bereitgestelltem Code auf primären Unternehmens-Workstations sollte untersagt werden
  • Jedes externe Repository sollte geprüft werden, bevor Skripte, Tasks oder die Installation von Abhängigkeiten ausgeführt werden
  • Entwickler sollten darin geschult werden, Warnsignale wie Short Links, neue Repo-Accounts, ungewöhnliche Einrichtungsschritte oder Aufforderungen, unbekannten Autoren zu vertrauen zu erkennen

Zu überprüfende Sicherheitskontrollen

  • Stellen Sie sicher, dass Tamper Protection, Echtzeit-AV und Endpoint-Updates aktiviert sind
  • Beschränken Sie, wo möglich, Scripting und Runtimes wie Node.js, Python und PowerShell
  • Ziehen Sie Application Control in Betracht, um die Ausführung aus Download- und Temp-Ordnern zu blockieren
  • Überwachen Sie Download-and-execute-Muster, verdächtiges Repository-Verhalten und ausgehenden Traffic zu Hosts mit geringer Reputation
  • Reduzieren Sie die Exponierung von Secrets durch kurzlebige Anmeldedaten, Vault-basierte Speicherung und MFA

Contagious Interview erinnert daran, dass moderne Angriffe zunehmend Geschäftsabläufe ausnutzen und nicht nur Software-Schwachstellen. Für Security-Teams bedeutet der Schutz von Entwicklern heute daher auch, den Interview-Prozess abzusichern.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Experts and Microsoft Defender Security Research Team lesen
SecurityMicrosoft Defendermalwaredeveloperssocial engineering

Verwandte Beiträge

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.

Security

KI-Agenten-Governance: Intent sicher ausrichten

Microsoft beschreibt ein Governance-Modell für KI-Agenten, das Benutzer-, Entwickler-, rollenbasierte und organisatorische Intent in Einklang bringt. Das Framework hilft Unternehmen, Agenten nützlich, sicher und compliant zu halten, indem es Verhaltensgrenzen und eine klare Rangfolge bei Konflikten definiert.

Security

Microsoft Defender Predictive Shielding stoppt GPO-Ransomware

Microsoft hat einen realen Ransomware-Fall beschrieben, in dem Defenders Predictive Shielding den Missbrauch von Group Policy Objects (GPOs) erkannte, bevor die Verschlüsselung begann. Durch das Härten der GPO-Verteilung und das Unterbrechen kompromittierter Konten blockierte Defender rund 97 % der versuchten Verschlüsselungsaktivität und verhinderte, dass Geräte über den GPO-Verteilungsweg verschlüsselt wurden.

Security

Agentic AI Sicherheit: Microsofts RSAC 2026 Neuerungen

Microsoft hat auf der RSAC 2026 neue Sicherheitsfunktionen für agentische KI vorgestellt, darunter die allgemeine Verfügbarkeit von Agent 365 ab dem 1. Mai als zentrale Steuerungsebene für Überwachung, Schutz und Governance von AI-Agents. Ergänzt wird dies durch neue Transparenz- und Erkennungstools wie das Security Dashboard for AI und Entra Internet Access Shadow AI Detection, was für Unternehmen wichtig ist, weil der breite Einsatz von AI-Agents neue Risiken bei Datenzugriff, Identitäten und unkontrollierter AI-Nutzung schafft.

Security

CTI-REALM Open Source: Benchmark für AI Detection

Microsoft hat mit CTI-REALM einen Open-Source-Benchmark vorgestellt, der prüft, ob AI-Agents im Security-Betrieb tatsächlich verwertbare Detection-Regeln aus Threat-Intelligence-Berichten ableiten und validieren können. Das ist wichtig, weil Security-Teams damit KI-Modelle nicht nur nach theoretischem Cybersecurity-Wissen, sondern nach ihrem praktischen Nutzen für SOC- und Detection-Engineering-Workflows in realistischen Umgebungen wie Linux, AKS und Azure bewerten können.

Security

Zero Trust for AI: Microsoft Workshop & Architektur

Microsoft erweitert seinen Zero-Trust-Ansatz gezielt auf KI-Umgebungen und führt dafür mit „Zero Trust for AI“ eine neue Leitlinie sowie eine eigene AI-Säule im Zero Trust Workshop ein. Das ist wichtig, weil Unternehmen damit einen strukturierten Rahmen erhalten, um Risiken wie Prompt Injection, Data Poisoning und übermäßige Zugriffe auf Modelle, Prompts und Datenquellen systematisch zu bewerten und mit konkreten Sicherheitskontrollen abzusichern.