- JINX-0164 verwendet gefälschte LinkedIn-Recruiter, um AUDIOFIX-Malware auf Entwicklerrechnern zu installieren.
- Angreifer sammeln GitHub-Token, um bösartigen Code direkt in Entwicklungspipelines einzuschleusen.
- Die Gruppe hat am 7. April das npm-Paket velora-dex/SDK getroytt und Backdoor an Krypto-Entwickler verteilt.
Ein zuvor nicht dokumentierter Bedrohungsakteur zielt systematisch auf Kryptowährungsentwickler durch gefälschte LinkedIn-Rekrutierungskampagnen ab, installiert eigene Malware auf deren Computern und nutzt diesen Zugang, um die gesamte Softwareentwicklungsinfrastruktur des Unternehmens zu kompromittieren.
Das Sicherheitsunternehmen Wiz hat die Gruppe JINX-0164 genannt und verfolgt sie mindestens seit Mitte 2025. Die Gruppe hat mehrere erfolgreiche Eindringlinge gegen Kryptowährungsorganisationen durchgeführt, mindestens in einem Fall versuchte sie einen vollständigen Lieferkettenangriff, indem sie bösartigen Code über ein weit verbreitetes öffentliches Paket verteilte.
Wie der Angriff funktioniert
Der Angriff folgt einem konsistenten Muster in jedem dokumentierten Fall:
- Ein glaubwürdiges LinkedIn-Profil kontaktiert sie mit einer Jobmöglichkeit oder einem Geschäftsvorschlag
- Das Ziel wird zu einem virtuellen Treffen eingeladen, das offenbar Microsoft Teams oder eine ähnliche Plattform entspricht
- Der Meeting-Link führt zu einer gefälschten Domain, in der eine bösartige Datei unter dem Vorwand, ein Audio- oder technisches Problem zu beheben, heruntergeladen wird
- Die Datei installiert AUDIOFIX, eine maßgeschneiderte Python-basierte Malware mit vollständigen Fernzugriffsfunktionen
- Angreifer sammeln Passwörter, SSH-Schlüssel, Browser-Zugangsdaten, Kryptowährungs-Wallet-Erweiterungen, AWS- und Cloud-API-Schlüssel sowie aktive Sitzungen von Discord, Slack und Telegram
- GitHub-Token, die aus dem kompromittierten Rechner extrahiert wurden, werden verwendet, um auf interne Code-Repositorien zuzugreifen
- Schadartiger Code wird direkt in die Entwicklungspipeline eingeschleust und infiziert alle anderen Entwickler, die aus diesen Repositories ziehen
Der gesamte Prozess vom ersten LinkedIn-Kontakt bis zur vollständigen Pipeline-Kompromittierung dauerte in einem dokumentierten Fall zwei Wochen.
Der Angriff auf die Lieferkette
Am 7. April 2026 hat JINX-0164 Version 9.4.1 des npm-Pakets @velora-dex/sdk, einem weit verbreiteten Kryptowährungs-SDK, trojanisiert. Drei Zeilen bösartigen Code wurden dem Paket angehängt, das lautlos eine leichte Backdoor namens MINIRAT herunterlud, sobald das Paket von einem Entwickler importiert wurde.
Der Angriff richtete sich gegen npm-Zugangsdaten und nicht gegen den GitHub-Quellcode, was bedeutete, dass das Repository sauber erschien, während das veröffentlichte Paket kompromittiert wurde.
Verwandt: FIFA-Weltmeisterschaft 2026 wird zum Schlachtfeld der Krypto-Vorhersage.
Warum Entwickler das Ziel sind
Entwicklerrechner speichern Zugangsdaten für jedes System, das der Entwickler berührt. Cloud-Infrastruktur, Code-Repositories, Paketmanager, interne APIs. JINX-0164 zeigte nach dem Zugang kaum Interesse an traditionellen Cloud-Ressourcen. Ihr Fokus lag ausschließlich auf Code-Verteilungssystemen und Entwicklungsinfrastruktur, dem effizientesten Weg, um Tausende von Endnutzern durch ein einziges vertrauenswürdiges Paket zu erreichen.
Worauf man achten sollte
Wiz identifizierte mehrere Indikatoren, die halfen, den Angriff zu erkennen, darunter unverifizierte Commit-Badges im Vigilant-Modus von GitHub, Diskrepanzen zwischen GPG-Schlüsselhistorie und Commit-Autoren sowie Git-Push-Aktivitäten, die über Auditprotokolle auf einen einzelnen kompromittierten Endpunkt zurückverfolgt wurden.
Die Gruppe leitet alle Aktivitäten über Mullvad, Astrill und ExpressVPN, um ihren Ursprung zu verschleiern. Obwohl keine endgültige Zuschreibung bestätigt wurde, stellte Wiz taktische Ähnlichkeiten mit nordkoreanischen Bedrohungsgruppen wie UNC1069 und Sapphire Sleet, obwohl keine Überschneidung mit bekannten Gruppen festgestellt wurde.
Verwandt: Michael Saylor skizziert die vier Bitcoin-Ideologien
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
