Cyber-Spionage JINX-0164: macOS-Malware greift Krypto-Firmen an

Der Bedrohungsakteur JINX-0164 greift gezielt Mitarbeiter von Kryptowährungsunternehmen und Softwareentwickler über LinkedIn an.

Die Täter nutzen raffinierte Social-Engineering-Taktiken. Ihr Ziel: eine spezialisierte macOS-Malware verbreiten und sensible Zugangsdaten sowie digitale Vermögenswerte stehlen.

Angreifer wie JINX-0164 nutzen gezielt das berufliche Interesse von Fachkräften aus, um über Social Engineering Schadsoftware zu verbreiten. Dieser kostenlose Report enthüllt die aktuellen psychologischen Taktiken der Cyberkriminellen und zeigt Ihnen, wie Sie solche Angriffe frühzeitig entlarven. Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter jetzt entdecken

Gefälschte Bewerbungsprozesse als Einfallstor

Die Angreifer gehen hochgradig personalisiert vor. Über gefälschte Recruiter-Profile auf LinkedIn nehmen sie Kontakt zu potenziellen Opfern auf. Sie laden diese zu vermeintlichen Vorstellungsgesprächen oder technischen Meetings ein.

Die Betroffenen erhalten Links zu manipulierten Webseiten, die legitime Meeting-Plattformen imitieren. Um am Gespräch teilzunehmen, sollen die Nutzer eine Softwarekomponente herunterladen – angeblich ein notwendiger Audiotreiber oder Audio-Fix.

In Wahrheit steckt dahinter der Dropper für eine macOS-Malware namens AUDIOFIX. Die in Python geschriebene Schadsoftware läuft sowohl auf älteren Intel-Macs als auch auf neueren Systemen mit Apple-Silicon-Chips.

AUDIOFIX räumt systematisch Daten ab

Einmal aktiv, fungiert AUDIOFIX als Infostealer und Remote Access Trojaner (RAT). Die Malware extrahiert eine breite Palette vertraulicher Informationen: Browser-Zugangsdaten, Passwort-Manager-Inhalte und die systemweite iCloud-Keychain.

Besonderes Augenmerk liegt auf der Krypto-Infrastruktur der Opfer. Die Malware scannt das System nach privaten Schlüsseln und Daten von Krypto-Wallets. Auch SSH-Keys und Cloud-Tokens für AWS, Google Cloud, Azure und Cloudflare werden entwendet.

Sitzungsinformationen von Slack, Discord und Telegram stehen ebenfalls im Fokus. Das ermöglicht den Angreifern die Übernahme von Unternehmenskonten.

Um den Diebstahl von Zugangsdaten und die Übernahme von Unternehmenskonten durch Infostealer zu verhindern, ist eine proaktive Abwehrstrategie unerlässlich. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen wirksam gegen Phishing-Angriffe und Cyberkriminalität absichern. In 4 Schritten zum sicheren Unternehmen: Leitfaden jetzt gratis herunterladen

Supply-Chain-Angriffe und technische Raffinesse

Neben der LinkedIn-Masche nutzt JINX-0164 auch Supply-Chain-Angriffe. Im April entdeckten Forscher eine kompromittierte Version des npm-Pakets @velora-dex/sdk (v4.9.1). Es enthielt eine Go-basierte Backdoor namens MINIRAT.

Diese verschafft den Angreifern dauerhaften Zugriff auf Entwicklungsumgebungen. Die Aktivitäten zielen besonders auf Git-Repositories und CI/CD-Systeme ab. In einem dokumentierten Fall injizierten die Täter bereits Code in interne Repositories.

Um ihre Spuren zu verwischen, nutzen die Akteure VPN-Dienste wie Mullvad, Astrill oder ExpressVPN.

Die Taktiken ähnlen stark bekannten nordkoreanischen Gruppierungen wie BlueNoroff. Direkte Überschneidungen in der Infrastruktur konnten Ermittler jedoch nicht feststellen. JINX-0164 wird seit Mitte 2025 beobachtet und entwickelt seine Werkzeuge kontinuierlich weiter.

Experten raten Unternehmen im Krypto-Sektor zu erhöhter Wachsamkeit bei unaufgeforderten Kontaktanfragen und strenger Prüfung von Software-Abhängigkeiten.

de | wissenschaft | 69443236 |