Thought Leadership
Der Akteur JINX-0164 visiert gezielt Entwickler von Krypto-Plattformen an. Mittels gefälschter Jobinterviews wird die macOS-Malware AUDIOFIX eingeschleust.
In der IT-Sicherheit wurde eine neue, hochentwickelte Angriffskampagne dokumentiert, die sich gezielt gegen Organisationen und Unternehmen im Bereich der Kryptowährungen richtet. Sicherheitsforscher des Cloud-Sicherheitsunternehmens Wiz, das zum Alphabet-Konzern gehört, identifizierten eine bislang undokumentierte Bedrohungsgruppe, die unter der internen Bezeichnung JINX-0164 überwacht wird. Die Aktivitäten dieses finanziell motivierten Akteurs lassen sich mindestens bis in die Mitte des Jahres 2025 zurückverfolgen.
Das primäre Ziel der Kriminellen besteht im Diebstahl digitaler Vermögenswerte durch das systematische Infiltrieren von Entwicklungsumgebungen. Die Analysten Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dan und Benjamin Read stellten fest, dass die Angriffe eine erhebliche Gefahr für die Integrität kommerzieller Software darstellen. In mindestens einem dokumentierten Fall gelang es den Angreifern, einen weitreichenden Angriff auf die Software-Lieferkette durchzuführen. Der Fokus der Gruppe liegt auf Software-Entwicklern, da diese über privilegierte Zugänge zu den zentralen Code-Verteilungssystemen verfügen.
Social-Engineering-Kette über LinkedIn
Die Infiltrationsmethode von JINX-0164 basiert auf einer präzise ausgearbeiteten Social-Engineering-Strategie, die das Thema Personalbeschaffung und Jobinterviews instrumentalisiert. Die Angreifer erstellen täuschend echte Profile auf der Karriereplattform LinkedIn, um gezielt Programmierer von Krypto-Unternehmen anzusprechen und ihnen scheinbar lukrative berufliche Möglichkeiten anzubieten. Im Zuge der Kontaktaufnahme laden die vermeintlichen Recruiter ihre Opfer zu einem virtuellen Vorstellungsgespräch ein. Der bereitgestellte Link führt die Zielpersonen jedoch nicht zu einem etablierten Videokonferenz-Anbieter, sondern auf eine vom Angreifer kontrollierte, gefälschte Domain, die das Design bekannter Plattformen imitiert.
Sobald das Opfer versucht, dem Meeting beizutreten, zeigt die Webseite eine fingierte technische Fehlermeldung an. Dem Nutzer wird suggeriert, dass ein Treiber-Update oder eine spezielle Konferenz-Software installiert werden muss, um das Problem zu beheben. Durch das Bestätigen des Downloads wird ein Bash-Skript ausgeführt, das auf einer präparierten Domain namens apple.driver-store.com gehostet wird. Dieses Skript lädt eine plattform- und architekturbezogene Schadlast herunter, die sowohl mit älteren Intel-Prozessoren als auch mit modernen Apple-Silicon-Chips vollständig kompatibel ist. Um auf dem macOS-Betriebssystem unentdeckt zu bleiben, maskiert sich die Datei als legitimer System-Audio-Treiber unter dem Namen coreaudiod, wird jedoch unter der Bezeichnung ChromeUpdater im System abgelegt und über das administrative Werkzeug launchctl gestartet.
Funktionsumfang der Python-Malware AUDIOFIX
Die über das Skript eingeschleuste Schadsoftware trägt den Codenamen AUDIOFIX und operiert als Kombination aus einem Informationsdieb und einem Remote-Access-Trojaner. Das in Python geschriebene Programm verfügt über umfangreiche Funktionen zur verdeckten Datenexfiltration. Zu den primären Aufgaben von AUDIOFIX gehört das systematische Auslesen sensibler Zugangsdaten direkt vom infizierten Endpunkt. Die Malware extrahiert gespeicherte Passwörter aus Webbrowsern, greift auf die verschlüsselten Dateien des iCloud-Keychains zu und liest die Zugangsdaten von lokalen Passwort-Managern aus. Zudem sammelt das Programm SSH-Schlüssel, lokale Administrator-Anmeldedaten, Konfigurationsdateien und den Verlauf von Konsolenbefehlen.
Ein besonderer Fokus liegt auf dem Diebstahl von Krypto-Infrastrukturen. AUDIOFIX durchsucht das System gezielt nach Daten von Browser-Erweiterungen für Kryptowährungen und extrahiert die privaten Schlüssel und Adressen digitaler Wallets. Darüber hinaus kapert das Programm aktive Sitzungs-Token der Kommunikationsdienste Discord, Slack und Telegram, um die interne Unternehmenskommunikation der Opfer zu überwerfen.
Neben dem Datendiebstahl unterstützt AUDIOFIX die Ausführung beliebiger Shell-Befehle, das Löschen von Systemdateien, manuelle Aufklärungsaktivitäten im Netzwerk und das Nachladen weiterer Schadprogramme von externen Servern. Die gestohlenen Privilegien nutzen die Angreifer, um sich lateral im Firmennetzwerk zu bewegen und Quellcodes in den Entwicklungsumgebungen zu manipulieren.
Backdoor-Mechanismus MiniRAT und Paket-Injektionen
Ein weiteres zentrales Werkzeug im Arsenal von JINX-0164 ist eine Go-basierte Backdoor namens MiniRAT. Die Verbreitung dieser Schadsoftware unterscheidet sich grundlegend von den LinkedIn-Kampagnen und erfolgt über die direkte Kompromittierung von Software-Abhängigkeiten. Im April 2026 dokumentierten die Sicherheitsfirmen SafeDep und StepSecurity eine manipulierte Version des legitimen npm-Pakets @velora-dex/sdk. Bei dieser Software handelt es sich um ein weit verbreitetes Entwickler-Kit für dezentrale Finanzanwendungen, das für Token-Swaps, Limit-Orders und den Delta-Handel auf der Plattform VeloraDEX eingesetzt wird.
Das infizierte npm-Paket enthielt schadhaften Code, der während der Installationsphase automatisch ein Shell-Skript von einem Remote-Server nachgeladen hat. Dieses Skript installierte schließlich die macOS-spezifische Binärdatei von MiniRAT auf dem Zielsystem. MiniRAT ermöglicht es den Angreifern, Dateien unbemerkt hochzuladen, administrative Befehle auf Betriebssystemebene auszuführen und zusätzliche Werkzeuge von externen Steuerungsserver nachzuladen. Durch diesen Ansatz gelingt es der Gruppe, die Sicherheitskontrollen traditioneller Code-Repositories zu umgehen und Schadcode direkt in die Produktionslinien von Drittanbieter-Software einzuschleusen.
Parallelen zu staatlich gelenkten nordkoreanischen Akteuren
Die von Wiz durchgeführte Analyse der Angriffsmuster offenbarte deutliche taktische Parallelen zu bekannten, staatlich unterstützten Bedrohungsgruppen aus Nordkorea. Die gezielte Fokussierung auf die Krypto-Branche, das Anwerben von Entwicklern über gefälschte Rekrutierungsprofile sowie der Einsatz von VPN-Diensten wie Astrill VPN entsprechen exakt den Mustern, die finanziell motivierten Clustern wie BlueNoroff, Contagious Interview oder UNC1069 zugeschrieben werden. Auch die Struktur und Benennung der gefälschten Domains weisen starke Ähnlichkeiten auf.
Dennoch betonten die Analysten von Wiz, dass zum gegenwärtigen Zeitpunkt keine direkten infrastrukturellen Überschneidungen wie identische IP-Adressen oder kryptografische Schlüssel vorliegen, die eine zweifelsfreie Zuordnung nach Pjöngjang erlauben.
„Diese Kampagnen nutzten hochentwickelte Social-Engineering-Techniken, maßgeschneiderte macOS-Malware und eine tiefgehende Ausrichtung auf die CI/CD-Infrastruktur. Die verwendeten Methoden ermöglichten es dem Bedrohungsakteur, sich lateral von kompromittierten Mitarbeiter-Laptops auf Code-Verteilungssysteme und Entwicklungsinfrastrukturen zu bewegen.“
Forscher von Wiz
