Wenn der Traumjob zur Falle wird
Die Bedrohungslandschaft im Krypto-Sektor bekommt neuen Zuwachs: Eine bisher unbekannte Bedrohungsgruppe, die von Forschern des Cloud-Security-Unternehmens Wiz unter dem Kürzel JINX-0164 getrackt wird, geht mit einem ausgeklügelten Mix aus Social Engineering und maßgeschneiderter macOS-Malware auf Beutezug. Mindestens seit Mitte 2025 zielt die Gruppe auf Krypto-Organisationen und Softwareentwickler ab – und das mit einer Raffinesse, die aufhorchen lässt.
Das Kernstück der Kampagne ist ein klassischer, aber perfektionierter Trick: Gefälschte Recruiter-Profile auf LinkedIn. Wer auf dem Krypto-Arbeitsmarkt aktiv ist, kennt die ständigen Anfragen von Headhuntern. Genau hier setzen die Angreifer an. Sie erstellen glaubwürdige Profile, locken mit lukrativen Jobangeboten und leiten die Opfer auf gefälschte Domains, die Telekonferenz-Anbieter vortäuschen. Sobald das Opfer der Einladung folgt, wird es aufgefordert, eine Software herunterzuladen, die angeblich das Videomeeting ermöglichen soll. Stattdessen installiert der Nutzer unwissentlich einen Python-basierten Infostealer und Remote Access Trojan (RAT) namens AUDIOFIX.
Technik im Detail: AUDIOFIX und die macOS-Lücke
Die Schadsoftware ist kein schnell zusammengehacktes Skript, sondern ein Beispiel für plattformübergreifende Professionalität. Über ein Bash-Skript, das von einer Domain namens apple.driver-store[.]com geladen wird, holt AUDIOFIX einen Payload, der sowohl auf Intel- als auch auf Apple-Silicon-Architekturen funktioniert.
Besonders tückisch: Die Malware tarnt sich als System-Audiotreiber (coreaudiod), wird unter dem unauffälligen Namen ChromeUpdater gespeichert und über das macOS-eigene launchctl ausgeführt. Für den Laien unsichtbar, für den Profi ein Albtraum. Denn AUDIOFIX ist nicht nur ein simpler Datendieb. Es ist ein Werkzeug für die laterale Bewegung im Netzwerk.
Vom Laptop zur Supply Chain
Hier liegt die eigentliche Brisanz der Kampagne. JINX-0164 begnügt sich nicht damit, ein paar Krypto-Wallets von einem einzelnen Mac zu stehlen. Die Malware ist darauf ausgelegt, vom kompromittierten Entwickler-Laptop tiefer in die Infrastruktur vorzudringen – konkret in CI/CD-Systeme und Entwicklungs-Pipelines.
Sobald der Angreifer Fuß gefasst hat, injiziert er das AUDIOFIX-Payload in interne Code-Verteilungssysteme und manipuliert den Quellcode. Das Ziel: Weitere Endgeräte zu infizieren und an Krypto-Wallet-Credentials zu gelangen. Das ist kein gewöhnlicher Datendiebstahl mehr, sondern eine vollwertige Supply-Chain-Attacke. Wenn der Code-Verteilungsprozess eines Unternehmens einmal kompromittiert ist, ist der Schaden kaum noch zu begrenzen.
Zudem stiehlt AUDIOFIX alles, was nicht niet- und nagelfest ist: Passwörter aus Managern, iCloud-Keychain-Dateien, SSH-Keys, lokale Admin-Credentials, Browser-Historien und aktive Sessions von Discord, Slack und Telegram. Kurzum: Das komplette digitale Leben des Entwicklers wird exfiltriert.
MiniRAT: Der zweite Stoßtrupp über npm
JINX-0164 hat noch einen weiteren Pfeil im Köcher. Neben AUDIOFIX setzt die Gruppe auf MiniRAT, einen in Go geschriebenen Backdoor. Die Besonderheit hier: MiniRAT wurde über ein kompromittiertes npm-Paket namens @velora-dex/sdk verbreitet. Dabei handelt es sich um ein echtes DeFi-Toolkit für Token-Swaps, das von den Angreifern vergiftet wurde. Wer als Entwickler dieses Paket installierte, lud unbemerkt ein Shell-Skript nach, das MiniRAT auf macOS-Systemen ausführte. MiniRAT kann Dateien hochladen, beliebige Shell-Befehle ausführen und weitere Tools von Servern der Angreifer nachladen.
Ein nordkoreanischer Schatten?
Die Taktik von JINX-0164 wirkt für Kenner der Szene vertraut: Gefälschte Jobangebote, Fokus auf Krypto-Währungen, gezielte Angriffe auf Entwickler und die Nutzung von VPN-Diensten wie Astrill VPN – all das sind starke Parallelen zu nordkoreanischen Bedrohungsgruppen wie BlueNoroff, Contagious Interview oder UNC1069.
Allerdings betonen die Wiz-Forscher, dass sie bisher keine Infrastruktur-Überschneidungen mit diesen bekannten Gruppen feststellen konnten. Die Domains und Server von JINX-0164 sind neu. Das wirft eine spannende Frage auf: Handelt es sich um eine neue, eigenständige Cybercrime-Gruppe, die einfach nur die erfolgreichen Playbooks der Nordkoreaner kopiert? Oder ist es eine neue Zelle, die ihre Infrastruktur streng abgeschottet betreibt, um eine Zuordnung zu vermeiden? Die Grenzen zwischen staatlich motivierter Spionage und profitorientiertem Cybercrime verschwimmen hier zunehmend.
Fazit: DevSecOps ist die neue Frontlinie
Die Kampagne von JINX-0164 ist ein Weckruf für die gesamte Tech-Branche. Sie zeigt, dass macOS längst kein sicherer Hafen mehr ist, sondern aufgrund seiner Beliebtheit bei Entwicklern zur Primzahl für Angreifer geworden ist. Zudem verdeutlicht der Angriff, dass die schwächste Stelle oft der Mensch ist – in diesem Fall der ambitionierte Entwickler, der auf einen attraktiven Job hereinfällt.
Für Unternehmen im Krypto- und Tech-Sektor bedeutet das: Die Abschottung der CI/CD-Pipelines von den Arbeitslaptops der Mitarbeiter muss höchste Priorität haben. Ein kompromittierter Mac darf nicht automatisch die Schlüssel zum gesamten Königreich liefern. Die DevSecOps-Community muss erkennen, dass Social Engineering heute nicht mehr nur auf den CEO abzielt, sondern sehr gezielt den Entwickler auf LinkedIn anvisiert. Wenn der Recruiter zu gut klingt, um wahr zu sein, ist er es wahrscheinlich auch.
Quelle: The Hacker News
