JINX-0164: Die neue Bedrohung, die mit Fake-Recruitern und Supply-Chain-Angriffen Krypto-Entwickler jagt

Zwei gefährliche macOS-Schadprogramme

Nachdem das Opfer den ersten Köder ausgeführt hat, lädt JINX-0164 maßgeschneiderte macOS-Komponenten nach. Wiz identifizierte zwei unterschiedliche Schadprogramme.

AUDIOFIX: Ein Python-Infostealer

AUDIOFIX ist ein in Python geschriebener Infostealer, der speziell für macOS entwickelt und über die Social-Engineering-Köder verteilt wird . Sein Hauptzweck ist es, Daten von Kryptowährungs-Wallets, private Schlüssel und andere sensible Entwicklerdaten auf dem Rechner des Opfers zu finden und an die Angreifer zu übermitteln .

MINIRAT: Ein Go-basierter Remote-Access-Trojaner

MINIRAT ist ein ausgewachsener, in der Programmiersprache Go geschriebener macOS-Trojaner, der den Angreifern einen dauerhaften Hintertür-Zugang verschafft. Zu seinen Fähigkeiten gehören die Ausführung beliebiger Shell-Befehle, der Diebstahl von Dateien und das Herunterladen sowie Ausführen weiterer Schadsoftware-Komponenten .

Der Trojaner setzt auf verschiedene Tarnungstechniken:

• Umgehung virtueller Maschinen: Er prüft, ob er in einer virtuellen Umgebung ausgeführt wird, um einer automatisierten Malware-Analyse zu entgehen .
• Verschlüsselter Kontrollverkehr: Die Kommunikation mit dem Command-and-Control-Server (C2) erfolgt per HTTPS mit einer AES-verschlüsselten Konfiguration .
• Getarnte Persistenz: MINIRAT installiert einen sogenannten LaunchAgent, der als Apple-Systemkomponente (com.apple.Terminal.profiler) getarnt ist und so sicherstellt, dass der Trojaner bei jeder Benutzeranmeldung neu gestartet wird .

Der Supply-Chain-Angriff: So verbreitete MINIRAT sich über npm

Ein besonders gefährlicher Aspekt dieser Kampagne war ein Supply-Chain-Angriff direkt in der npm-Registry. Am 7. April 2026 veröffentlichten die Angreifer eine bösartige Version (v9.4.1) des legitimen Pakets @velora-dex/sdk .

Der Angriff war von Natur aus heimlich. Anstatt auf Installationsskripte oder auffällige Post-Install-Befehle zu setzen – die oft von Sicherheitstools erkannt werden –, injizierten die Angreifer nur drei Zeilen schädlichen Code direkt in die Datei dist/index.js. Der Schadcode wurde genau in dem Moment ausgeführt, in dem ein Entwickler das kompromittierte Paket per require() oder import in sein Projekt einband .

Dieser Code lud ein entferntes Shell-Skript herunter, das wiederum die MINIRAT-Hintertür auf das macOS-System brachte und mittels LaunchAgent-Technik dauerhaft installierte . Das Paket präsentierte sich als nützliches DeFi-Toolkit und wirkte wie ein trojanisches Pferd, mit dem es die Entwickler der Kryptobranche erfolgreich ins Visier nahm.

Jenseits des Laptops: Übernahme der CI/CD-Infrastruktur

Die Ambitionen von JINX-0164 gehen weit über einen einzelnen Entwickler-Laptop hinaus. Wiz berichtet, dass der Angreifer nach dem Erstzugriff auf einen Rechner versuchte, sich lateral in CI/CD-Pipelines und die breitere Entwicklungsinfrastruktur auszubreiten .

Diese Phase des Angriffs ist entscheidend, denn sie macht aus einem einzigen kompromittierten Laptop ein potenzielles Risiko für den gesamten Software-Lebenszyklus. Durch den Zugriff auf Build-Systeme und Code-Repositories könnte ein Angreifer schädliche Änderungen in vertrauenswürdige interne Anwendungen oder sogar offizielle Releases einschleusen und damit die Auswirkungen des Einbruchs drastisch vergrößern .

Die Spur führt nach Nordkorea

Die vertrauten Vorgehensweisen sind der Bedrohungsanalyse nicht entgangen. Das operative Profil von JINX-0164 weist große Ähnlichkeit mit Kampagnen auf, die seit Langem nordkoreanischen, staatlich gesteuerten Gruppen zugeschrieben werden – insbesondere der Lazarus-Gruppe (auch bekannt als AppleJeus, Contagious Interview oder DeceptiveDevelopment). Die gemeinsamen Merkmale umfassen Fake-Jobangebote auf LinkedIn, die gezielte Ansprache von Kryptowährungsentwicklern und den anhaltenden Fokus auf macOS-spezifische Malware .

Das IT-Sicherheitsunternehmen ESET hat dokumentiert, dass mit Nordkorea verbündete Gruppen nahezu identische Drehbücher für Kryptodiebstahl und Social Engineering gegen freiberufliche Entwickler auf Windows, Linux und macOS verwenden . Trotz dieser starken taktischen Überschneidungen hält Wiz in seinem offiziellen Bericht mit einer definitiven Zuschreibung zur nordkoreanischen Lazarus-Gruppe jedoch zurück und lässt die endgültige Zuordnung offen .

Die Kampagne fügt sich nahtlos in ein globales Muster ein, bei dem staatlich gesteuerte Akteure IT-Mitarbeiter und Entwickler als primären Zugangsweg nutzen. Sowohl Mandiant als auch GitHub haben Erkenntnisse über Gruppen wie Jade Sleet veröffentlicht, die über ähnliche Fake-Job-Aufgaben COVERTCATCH-Malware verbreiten .

Warum diese Kampagne eine Warnung für 2026 ist

JINX-0164 ist Ausdruck einer gefährlichen Verschmelzung von Angriffstrends, die sich im Laufe von 2025 und Anfang 2026 beschleunigt haben. Die Kampagne vereint gezieltes Social Engineering, maßgeschneiderte Malware für eine oft übersehene Plattform (macOS) und einen Supply-Chain-Angriff auf der npm-Registry. Sie zeigt zudem einen aggressiven Drang, von Endpunkten auf die Entwicklungswerkzeuge überzuspringen, die Code prüfen, bauen und verteilen.

Für Sicherheitsteams in Kryptowährungs- und Web3-Organisationen ist die Lektion unmissverständlich: Ein einziger Entwickler, der auf eine ausgefeilte LinkedIn-Nachricht hereinfällt, kann eine Kaskade von Kompromittierungen auslösen – von privaten Wallets bis hin zur zentralen Build-Infrastruktur. Um solche Angriffe zu erkennen und abzuwehren, ist Transparenz nicht nur auf Endgeräten erforderlich, sondern auch bei Paketregistern, dem Verhalten beim Import von Code und den nachgelagerten CI/CD-Systemen.