IRCNF
Security

Neuer Bedrohungsakteur plündert Krypto-Firmen mit gefälschten LinkedIn-Rekrutierern und vergifteten CI/CD-Pipelines

The Hacker News
Teilen:
Neuer Bedrohungsakteur plündert Krypto-Firmen mit gefälschten LinkedIn-Rekrutierern und vergifteten CI/CD-Pipelines

Ein bislang unbekannter Bedrohungsakteur zielt seit mindestens Mitte 2025 systematisch auf Kryptowährungsorganisationen ab. Er platziert individuelle macOS-Malware über gefälschte LinkedIn-Rekrutierungsprofile und nutzt sie, um lateral in CI/CD-Pipelines vorzudringen, Krypto-Wallet-Zugangsdaten zu stehlen und in mindestens einem Fall einen Supply-Chain-Angriff durchzuführen. Die zu Google gehörende Cloud-Sicherheitsfirma Wiz Research hat die Kampagne heute offengelegt und verfolgt die Gruppe unter dem Namen JINX-0164.

Die Angriffskette beginnt mit einem seriös wirkenden LinkedIn-Profil, das sich als Recruiter ausgibt. Das Ziel wird zu einem virtuellen Vorstellungsgespräch über einen scheinbar legitimen Telekonferenz-Link eingeladen – doch die Domain ist gefälscht und wurde so gestaltet, dass sie echte Meeting-Software nachahmt. Wenn der Anruf „nicht geladen werden kann“, wird das Opfer angewiesen, einen Fix herunterzuladen. Dieser Fix ist AUDIOFIX, ein Python-basierter Infostealer und Remote-Access-Trojaner, der sich als macOS-System-Audio-Treiber namens coreaudiod tarnt und als ChromeUpdater auf der Festplatte gespeichert wird.

Was AUDIOFIX sammelt

Nach der Installation sammelt AUDIOFIX einen ungewöhnlich breiten Satz an Anmeldedaten: Passwörter aus Passwort-Managern, Browser-Credential-Speichern, iCloud-Keychain-Dateien, lokale Admin-Anmeldedaten, SSH-Schlüssel und Konfigurationsdateien, Shell-Verlauf, Kryptowährungs-Wallet-Adressen und Browser-Erweiterungsdaten sowie aktive Session-Tokens von Discord, Slack und Telegram. Die Malware unterstützt manuelle Aufklärung, die Ausführung beliebiger Shell-Befehle, das Löschen von Dateien und das Abrufen von Payloads von der Infrastruktur der Angreifer – was JINX-0164 neben dem anfänglichen Diebstahl von Anmeldedaten einen dauerhaften Remote-Zugriff verschafft.

Wiz merkt an, dass der Payload architekturbewusst ist, für Intel- und Apple-Silicon-Macs kompiliert wurde und über eine gefälschte Treiber-Store-Domain (apple.driver-store[.]com) mit einem Bash-Skript ausgeliefert wird, das die Installation übernimmt.

CI/CD als Ziel der zweiten Phase

Das Unterscheidungsmerkmal von JINX-0164 im Vergleich zu einfacheren, auf Krypto zielenden Malware-Arten ist der Fokus auf laterale Bewegungen in Entwicklungsinfrastrukturen. Nachdem ein Mitarbeiter-Laptop kompromittiert wurde, nutzt die Gruppe AUDIOFIX, um zu internen Code-Verteilungssystemen zu wechseln und den Malware-Payload in Quellcode-Repositories einzuschleusen. Das Ziel ist es, andere Entwickler-Rechner zu erreichen und letztlich den Code zu kompromittieren, der Kryptowährungstransaktionen abwickelt – so wird aus einem einzelnen Phishing-Opfer ein Supply-Chain-Angriff, der alle Nutzer eines Projekts betrifft.

In einem separaten Vektor hat die Gruppe auch MiniRAT, eine Go-basierte Hintertür, über eine kompromittierte Version von @velora-dex/sdk verteilt, einem legitimen DeFi-npm-Paket für Token-Swaps auf der dezentralen Börse VeloraDEX. Das vergiftete Paket lud ein Shell-Skript von einem Remote-Server herunter, das das macOS-Binary über launchctl-Persistenz auslieferte. SafeDep und StepSecurity dokumentierten diese spezifische Kampagne letzten Monat.

Nordkoreanische Fingerabdrücke

Die Wiz-Forscher stellen fest, dass mehrere Aspekte der Kampagne mit bekannten nordkoreanischen Bedrohungsclustern übereinstimmen, insbesondere mit BlueNoroff. Dazu gehören die Nutzung von Astrill VPN während der Operationen, ein konsequenter Fokus auf Kryptowährungsfirmen und -entwickler sowie die Social-Engineering-Technik mit Recruiting-Ködern, die in den letzten Jahren zu einem Markenzeichen von Gruppen mit Verbindungen zur DVRK geworden ist. Wiz enthält sich einer endgültigen Zuordnung, bewertet die Aktivität jedoch als finanziell motiviert und operativ ausgefeilt genug, um mehrstufige Eindringlinge aufrechtzuerhalten.

Das Muster ist konsistent mit einer breiteren nordkoreanischen Strategie, die auf Krypto-Infrastruktur abzielt: Während Ransomware-Gruppen typischerweise nach der Kompromittierung eines Opfers eine Zahlung fordern, zielt JINX-0164 darauf ab, die Fähigkeit des Opfers, Gelder zu bewegen, vollständig zu beeinträchtigen – entweder durch direkten Diebstahl von Wallet-Anmeldedaten oder durch das Einschleusen von bösartigem Code in die Anwendungen, die Kryptotransaktionen abwickeln.

Worauf Krypto- und Entwicklerteams achten sollten

Die Offenlegung von Wiz enthält Indicators of Compromise. Organisationen sollten unaufgeforderte LinkedIn-Recruiter-Kontaktaufnahmen, gefolgt von Videoanruf-Anfragen – insbesondere solche, die unerklärliche technische Fehler erfordern, die einen Download nötig machen – als risikoreiche Interaktionen betrachten. AUDIOFIX nutzt launchctl-Persistenz, daher kann macOS-Sicherheitstooling, das die Registrierung von Launch-Daemons überwacht, es erkennen. Das gefälschte Domain-Muster (apple.driver-store[.]com und ähnliche) sollte zu DNS-Blocklisten hinzugefügt werden.

Für Entwicklungsteams ist der CI/CD-Aspekt das ernstere Anliegen. Wenn ein Entwickler in einer Organisation mit Zugriff auf Build-Pipelines kompromittiert wird, erstreckt sich der nachgelagerte Radius auf jeden Benutzer der betroffenen Software. Code-Signing und reproduzierbare Builds sind teilweise Abschwächungen; die Laufzeitverhaltensüberwachung von CI/CD-Jobs ist effektiver, um laterale Bewegungen nach der Kompromittierung zu erkennen, bevor eine vergiftete Version ausgeliefert wird.

cybersecurityci-cdsupply-chainCryptocurrencymacos-malwarenorth-korea

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Teilen: