Auf den Punkt: Die Gruppe JINX-0164 kompromittiert Krypto-Entwickler über gefälschte LinkedIn-Jobinterviews, um die Python-Malware AUDIOFIX einzuschleusen, die Passwörter, SSH-Schlüssel und Krypto-Wallet-Daten stiehlt.
Die Bedrohungsgruppe JINX-0164 infiltriert gezielt Entwickler von Krypto-Plattformen mit der macOS-Malware AUDIOFIX, indem sie über LinkedIn täuschend echte Recruiters darstellen und zum Download vermeintlicher Meeting-Software auffordern. Die Angriffe richten sich auf Softwareentwickler, um über deren privilegierte Zugänge in die Lieferkette einzudringen.
Die Sicherheitsforscher von Wiz (Alphabet-Konzern) haben eine bislang unbekannte, finanziell motivierte Bedrohungsgruppe unter der Bezeichnung JINX-0164 dokumentiert, deren Aktivitäten sich mindestens bis Mitte 2025 zurückverfolgen lassen. Das primäre Ziel ist der Diebstahl digitaler Vermögenswerte durch Infiltration von Entwicklungsumgebungen. In mindestens einem Fall gelang JINX-0164 ein Angriff auf die Software-Lieferkette, indem Entwickler mit privilegiertem Zugang zu zentralen Code-Verteilungssystemen kompromittiert wurden.
Die Infiltration erfolgt über eine mehrstufige Social-Engineering-Kette auf LinkedIn. JINX-0164 erstellt täuschend echte Recruiter-Profile und bietet Programmierern von Krypto-Unternehmen scheinbar lukrative Stellen an. Im vermeintlichen Vorstellungsgespräch führt ein Link auf eine vom Angreifer kontrollierte, gefälschte Domain (nicht auf etablierte Videokonferenz-Plattformen). Beim Öffnen zeigt sich eine fingierte Fehlermeldung, die den Nutzer zum Download eines Treiber-Updates oder einer speziellen Konferenz-Software auffordert. Das heruntergeladene Bash-Skript wird von der Domain apple.driver-store.com gehostet und lädt eine plattformbezogene Schadlast herunter – kompatibel mit Intel-Prozessoren und Apple-Silicon-Chips.
Die ausgeführte Malware AUDIOFIX ist ein in Python geschriebener Informationsdieb und Remote-Access-Trojaner. Sie maskiert sich als legitimer System-Audio-Treiber (coreaudiod), wird jedoch unter dem Namen ChromeUpdater registriert und über launchctl gestartet. AUDIOFIX extrahiert gespeicherte Passwörter aus Webbrowsern, greift auf iCloud-Keychain-Dateien zu, liest Passwort-Manager-Zugangsdaten aus und sammelt SSH-Schlüssel, lokale Administrator-Anmeldedaten und Konsolenbefehl-Verläufe.
Ein besonderer Schwerpunkt liegt auf Krypto-Infrastrukturen: AUDIOFIX sucht gezielt nach Browser-Erweiterungen für Kryptowährungen und extrahiert private Schlüssel sowie Wallet-Adressen. Das Malware-Programm kapert zudem Browser-Cookies und versucht, auf die lokale Dateiablage zuzugreifen.
Quelle: www.it-daily.net · Erschienen 2. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.