Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) JINX-0164 Bedrohungsakteur

JINX-0164 Bedrohungsakteur

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Malware, Mobile Malware
Übersetzen Sie in:

Ein bisher unbekannter Akteur namens JINX-0164 hat eine gezielte Cyberkampagne gegen Kryptowährungsorganisationen durchgeführt. Mithilfe von Social Engineering mit Rekrutierungsbezug und speziell entwickelter macOS-Malware wurden digitale Vermögenswerte gestohlen. Die finanziell motivierte Gruppe ist mindestens seit Mitte 2025 aktiv, konzentriert sich stark auf Entwickler und hat in mindestens einem bestätigten Fall eine Software-Lieferkette kompromittiert.

Die Kampagne demonstriert eine ausgeklügelte Kombination aus irreführenden Rekrutierungstaktiken, dem Einsatz von Schadsoftware und dem tiefen Eindringen in CI/CD-Umgebungen. Durch die Kompromittierung von Mitarbeiterarbeitsplätzen gelang es den Angreifern, sich lateral in die Entwicklungsinfrastruktur und die Codeverteilungssysteme auszubreiten und so den Umfang und die Auswirkungen der Angriffe erheblich zu vergrößern.

Rekrutierungsbetrug wird zum Einstiegspunkt

JINX-0164 nutzt gefälschte LinkedIn-Profile, um Kontakt zu Entwicklern und Mitarbeitern von Unternehmen aus dem Kryptowährungsbereich aufzunehmen. Die Opfer werden zu virtuellen Meetings eingeladen, die auf betrügerischen Domains stattfinden, welche sich als legitime Videokonferenzplattformen ausgeben.

Während des vorgetäuschten Meeting-Vorbereitungsprozesses werden die Zielpersonen angewiesen, eine Datei herunterzuladen, die wie ein Meeting-Client oder ein technisches Fix aussieht. In Wirklichkeit initiiert die heruntergeladene Datei die Infektionskette, indem sie einen Python-basierten macOS-Infostealer und Remote-Access-Trojaner namens AUDIOFIX von einer gefälschten Treiberverteilungsdomäne „apple.driver-store.com“ abruft.

Der Infektionsprozess wird durch ein Bash-Skript ermöglicht, das die Systemarchitektur des Opfers erkennt und so die nahtlose Ausführung der Malware auf macOS-Geräten mit Intel-Prozessoren und Apple Silicon gewährleistet. Die Schadsoftware tarnt sich als System-Audiotreiber namens „coreaudiod“, wird lokal als „ChromeUpdater“ gespeichert und mithilfe der macOS-Befehle launchctl gestartet, um sich dauerhaft im System einzunisten.

AUDIOFIX ermöglicht tiefgreifende Systemkompromisse

Nach der Installation führt AUDIOFIX umfangreiche Operationen zum Diebstahl von Zugangsdaten und zur Aufklärung durch und ermöglicht gleichzeitig die seitliche Ausbreitung in die interne Infrastruktur. Forscher beobachteten, wie die Malware dazu verwendet wurde, schädliche Nutzdaten in Entwicklungssysteme einzuschleusen und Quellcode zu verändern, um weitere Endpunkte zu kompromittieren und Zugangsdaten für Kryptowährungs-Wallets zu stehlen.

Die Schadsoftware ist in der Lage, eine breite Palette sensibler Informationen zu stehlen, darunter:

  • Anmeldeinformationen des Passwortmanagers, Browserdaten, iCloud-Schlüsselbunddateien, SSH-Schlüssel, Administratoranmeldeinformationen, Konsolenverlauf und Konfigurationsdateien
  • Kryptowährungs-Wallet-Adressen, Browser-Erweiterungsdaten, die mit Krypto-Diensten verknüpft sind, und aktive Sitzungen von Discord, Slack und Telegram.

Neben dem Informationsdiebstahl unterstützt AUDIOFIX auch die Ausführung von Fernbefehlen, das Löschen von Dateien, die Übermittlung von Nutzdaten, Aufklärungsaktivitäten und die Datenexfiltration von infizierten Systemen.

MiniRAT erweitert die Bedrohung durch Missbrauch der Lieferkette

Ein weiterer wichtiger Bestandteil der Operation ist MiniRAT, eine Go-basierte Hintertür, die mit einem kompromittierten npm-Paket namens '@velora-dex/sdk' verbunden ist. Das Paket war mit einem legitimen Toolkit für dezentrale Finanzen verknüpft, das für Token-Swaps, Delta-Trading und Limit-Orders auf der VeloraDEX-Plattform verwendet wurde.

Die manipulierte Version des Pakets lud ein Shell-Skript von einem entfernten Server herunter und installierte schließlich eine macOS-spezifische MiniRAT-Binärdatei. Nach der Installation ermöglichte die Malware Angreifern, Dateien hochzuladen, beliebige Shell-Befehle auszuführen und zusätzliche Schadsoftware von der von ihnen kontrollierten Infrastruktur herunterzuladen.

JINX-0164 hat wiederholt Social-Engineering-Taktiken eingesetzt, darunter gefälschte Stellenangebote und vorgetäuschte technische Probleme, die die Opfer zur Installation betrügerischer Software-Updates zwingen. Diese konsequente Vorgehensweise unterstreicht, dass die Gruppe großen Wert auf die Manipulation von Menschen als primären Angriffsvektor legt.

Mögliche Verbindungen zu nordkoreanischen Cyberoperationen

Mehrere Merkmale der Kampagne ähneln Aktivitäten, die zuvor mit nordkoreanischen Cyberbedrohungsgruppen wie BlueNoroff, Contagious Interview und UNC1069 in Verbindung gebracht wurden. Forscher stellten Ähnlichkeiten bei den Zielmustern, gefälschten Domains und der Nutzung von VPN-Diensten wie Astrill VPN fest.

Trotz dieser Überschneidungen konnten die Ermittler keine bestätigten Infrastrukturverbindungen feststellen, die JINX-0164 direkt mit staatlich geförderten Operationen Nordkoreas verknüpfen. Die derzeitigen Erkenntnisse deuten eher auf operative Ähnlichkeiten als auf eine eindeutige Zuordnung hin.

Im Trend

Am häufigsten gesehen

Wird geladen...