Ein Klick auf das vermeintlich attraktive Jobangebot – und schon hat sich ein Infostealer auf dem Rechner eingenistet. Immer häufiger nutzen Cyberkriminelle soziale Netzwerke, Freelance-Plattformen und E-Mail-Kampagnen mit fingierten Stellenausschreibungen, um gezielt Entwickler, IT-Freelancer und andere Tech-Professionals mit Schadsoftware zu infizieren. Die Bedrohung ist real – und sie wächst rasant.
Infostealer auf Karrierekurs: Eine neue Waffe der Cyberkriminellen
Infostealer – Schadprogramme, die sensible Informationen vom befallenen System stehlen – zählen inzwischen zu den meistverbreiteten Malware-Varianten im Bereich der Cyberkriminalität. Im Jahr 2025 verzeichnete das Cybersecurity-Unternehmen Group-IB einen Anstieg um 68 % bei der Verbreitung von Infostealern wie Raccoon Stealer, RedLine oder Vidar, die häufig über soziale Manipulation eingeschleust werden (Quelle: Group-IB Threat Report 2025).
Besonders perfide: Angriffsvektoren verlagern sich zunehmend in den scheinbar harmlosen sozialen und beruflichen Kontext. LinkedIn, Discord, GitHub oder Job-Portale wie Upwork werden zur Angriffsbühne. Hacker tarnen sich als Recruiter großer Tech-Firmen — mit gefälschten Identitäten, professionell gestalteten Stellenausschreibungen und präparierten Projektdateien. Zielgruppe: Entwickler auf Jobsuche.
Ein bekanntes Beispiel betrifft eine Kampagne über GitHub im Sommer 2025. Hierbei verlinkten Angreifer auf Repositories mit „Technical Assignment Files“. Öffnete das Opfer die darin enthaltene Datei – etwa ein Python-Script –, aktivierte es im Hintergrund die Payload eines Infostealers, der direkt auf gespeicherte Credentials im Chrome-Browser sowie auf Passwort-Manager zugriff.
Technik hinter der Tarnung: So funktioniert der Infostealer-Angriff
Die Funktionsweise solcher Infostealer ist technisch anspruchsvoll und tückisch zugleich. Nach dem ersten Klick – etwa auf eine verseuchte ZIP-Datei oder ein Office-Dokument mit Makros – wird der Schadcode entweder direkt ausgeführt oder ein Dropper lädt die eigentliche Malware nach. Diese durchsucht anschließend gezielt:
- Browser-Datenbanken (z. B. Chrome’s „Login Data“-SQLite-Datei)
- Krypto-Wallets und SSH-Schlüssel
- 2FA-Backups und Konfigurationen gängiger Tools wie KeePass, FileZilla oder VSCode
- Cloud-Zugänge zu AWS, Azure oder Google Cloud Platform
Viele Infostealer exfiltrieren die Daten in weniger als 60 Sekunden an Command-and-Control-Server und löschen ihre Spuren automatisiert. Selbst Security-Antiviruslösungen haben es schwer, solche Payloads rechtzeitig zu erkennen, insbesondere wenn diese individuell angepasst und obfuskiert wurden.
Alarmstufe Arbeitsplatz: Warum gerade Entwickler im Fadenkreuz stehen
Softwareentwickler haben zunehmend Zugriff auf sensible Daten und Schlüsselressourcen: Git-Repositorys, CI/CD-Pipelines, interne APIs, Konfigurationsdateien mit Geheimnissen. Laut einer Studie von Kaspersky aus dem dritten Quartal 2025 waren 46,7 % aller über Jobangebote verbreiteten Infostealer auf Accounts mit Entwicklerzugriff ausgerichtet (Quelle: Kaspersky SecureList 2025-Q3 Report).
Ein ehemaliger Security-Engineer eines DAX-Konzerns berichtet: „Wir hatten über eine Freelance-Plattform einen Python-Developer akquiriert, der unwissentlich infiziert war. Über dessen infizierte Laptopumgebung konnte der Angreifer Zugriff auf unseren privaten Git-Server erhalten.“ Ein klassisches Supply-Chain-Risiko – zurückverfolgbar zu einem fingierten Angebot auf einer Freelancer-Plattform.
Experteninterview mit Benjamin Raschke, Leiter Incident Response bei CERT-Bund
Frage: Herr Raschke, was macht diese neuen Angriffsmethoden so gefährlich?
Antwort: Die Kombination aus Social Engineering, technischer Tarnung und strategischer Zielgruppenwahl ist besonders effizient. Entwickler gelten per se als vorsichtig. Doch die professionelle Aufmachung und die realistisch wirkenden Jobanfragen erzeugen Vertrauen. Das wird konsequent ausgenutzt.
Frage: Welche Schutzmaßnahmen empfehlen Sie konkret?
Antwort: Neben technischer Hardening-Maßnahmen ist ein Bewusstsein für die Gefahrenlage entscheidend. Jeder Code, jede Datei aus unbekannter Quelle sollte als potenziell gefährlich gelten – auch wenn sie in einem Bewerbungskontext steht.
Woran erkenne ich manipulierte Jobangebote?
Cyberkriminelle setzen längst nicht mehr auf fehlerhafte Grammatik oder auffällige Domains. Die Anfragen sind oft perfekt. Doch es gibt Anzeichen, auf die man achten sollte:
- Ungewöhnliche Dateiformate für technische Tests, z. B. ausführbare Dateien oder mit Makros präparierte Office-Dokumente
- Dringlichkeit („Bitte heute noch beantworten“) mit gleichzeitig fehlender Transparenz zur Herkunft der Anfrage
- Keine Rückverfolgbarkeit der HR-Kontakte bei Google oder LinkedIn
- ZIP-Archive mit generischen Namen und keinem direkten Bezug zum Jobinhalt
- Fehlender offizieller Kontext (z. B. keine Referenz auf Firmenwebsite)
Prävention in der Praxis: So schützen Sie sich effektiv
Technische Schutzmaßnahmen werden oft zu spät etabliert. Deshalb empfehlen Experten einen ganzheitlichen Ansatz:
- Sandboxing etablieren: Nutzen Sie virtuelle Maschinen oder Sandbox-Umgebungen wie Any.Run oder Cuckoo, um Dateien aus unbekannter Quelle risikofrei zu überprüfen.
- Security-Awareness schärfen: Schulen Sie Ihr Team im Umgang mit Social Engineering und ungewöhnlichen Bewerbungsoptionen, inklusive Simulationen.
- Credential Management professionalisieren: Lagern Sie Passwörter, API-Keys und Zugriffstoken nie unverschlüsselt lokal, sondern in vorkonfigurierten Tresorlösungen wie Bitwarden oder HashiCorp Vault.
Weitere Tipps umfassen das Verwenden von EDR-Lösungen, das eingeschränkte Rechte-Management während Coding-Aufgaben sowie die Sicherheitsverifikation externer Projektanfragen über Zweikanal-Kommunikation.
Die Rolle der Plattformen: LinkedIn, Upwork & GitHub unter Druck
Zwar gehen Plattformen wie LinkedIn oder Upwork inzwischen verstärkt gegen Fake-Recruiter vor, doch sind ihre Möglichkeiten begrenzt. Allein 2024 wurden laut einem Transparency Report von LinkedIn über 3,6 Millionen Fake-Accounts im Jobnetzwerk gesperrt. Doch viele bleiben wochenlang aktiv – genug Zeit für eine Angriffskampagne.
GitHub wiederum wird vor allem zur Verbreitung vorbereiteter Repositories genutzt. Die Verantwortung liegt hier mehr denn je bei der Community: verdächtige Inhalte melden, dubiose Accounts blockieren, Collaborations kritisch prüfen.
Fazit: Angriff über Vertrauen – und wie wir uns schützen
Die Welle von Infostealer-Angriffen über fingierte Jobangebote zeigt, wie gefährdet selbst informierte IT-Fachkräfte sind. Professionell aufgesetzte Kampagnen nutzen das Vertrauen in Plattformen und Menschen, um gezielt Schadsoftware zu platzieren. Die gute Nachricht: Wer sensibilisiert ist und technische Schutzmechanismen einsetzt, kann solchen Angriffen wirksam begegnen.
Entwickler sollten den Grundsatz „Vertrauen ist keine Strategie“ verinnerlichen, insbesondere bei digitalen Erstkontakten. Unternehmen wiederum müssen ihre Supply-Chain-Security um das Freelancer- und Recruiting-Umfeld erweitern.
Wie sind eure Erfahrungen mit verdächtigen Jobanfragen im Netz? Diskutiert mit uns in den Kommentaren oder teilt euren Schutzansatz in unserer Tech-Community.
