**Wiz**-Forscher Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dan und Benjamin Read enthüllten die neue Kampagne und erklärten: „Diese Kampagnen nutzten hochentwickelte Social-Engineering-Techniken, maßgeschneiderte macOS-Malware und eine gezielte Ausrichtung auf CI/CD-Infrastrukturen. Die verwendeten Methoden ermöglichten es dem Akteur, sich lateral von kompromittierten Laptops von Mitarbeitern zu Code-Verteilungssystemen und Entwicklungsinfrastrukturen zu bewegen.“ ### Social Engineering im Stil von Rekrutierungsangeboten **JINX-0164**, seit mindestens Mitte 2025 aktiv, kontaktiert Opfer über glaubwürdige **LinkedIn**-Profile und bietet virtuelle Meetings an. Diese Meetings sollen die Ziele auf bösartige Domains umleiten, die Telekonferenzanbieter imitieren. Opfer werden dann dazu verleitet, eine bösartige Datei herunterzuladen, die als Meeting-Client getarnt ist. Dies löst über ein Bash-Skript, das auf einer gefälschten Treiber-Store-Domain („apple.driver-store[.]com“) gehostet wird, den Abruf von **AUDIOFIX** aus, einem Python-basierten macOS-Infostealer und Remote-Access-Trojaner. „Das [Bash]-Skript lud eine architekturabhängige Payload von derselben Domain herunter, die sowohl für Intel- als auch für Apple Silicon-Systeme kompatibel ist. Die Payload tarnt sich als System-Audio-Treiber namens coreaudiod, wurde als ChromeUpdater gespeichert und über launchctl ausgeführt“, erklärte **Wiz**.  ### AUDIOFIX Malware-Details **AUDIOFIX** stiehlt sensible Daten, erleichtert laterale Bewegungen und modifiziert Quellcode, um andere Endpunkte zu kompromittieren und Anmeldedaten für Kryptowährungs-Wallets zu stehlen. Die Malware zielt auf Anmeldedaten aus Passwort-Managern, Webbrowsern und **iCloud Keychain**-Dateien ab, sowie auf lokale Administrator-Anmeldedaten, SSH-Schlüssel, Konfigurationsdateien und Kryptowährungs-Wallet-Adressen.  Zusätzlich zum Datendiebstahl unterstützt **AUDIOFIX** Befehle für Aufklärung, Exfiltration, Ausführung beliebiger Shell-Befehle, Dateilöschung und Payload-Abruf. ### MiniRAT Backdoor **JINX-0164** nutzt auch **MiniRAT**, eine Go-basierte Backdoor, die zuvor über eine kompromittierte Version des **npm**-Pakets `@velora-dex/sdk` verteilt wurde, einem legitimen DeFi-Toolkit, das auf der dezentralen Börsenplattform **VeloraDEX** verwendet wird. Dieser Supply-Chain-Angriff beinhaltete den Download eines Shell-Skripts, das einen macOS-spezifischen Binärcode, **MiniRAT**, lieferte, der in der Lage war, Dateien hochzuladen, Shell-Befehle auszuführen und zusätzliche Payloads abzurufen. ### Mögliche Nordkoreanische Verbindung? Die Taktiken der Kampagne, gepaart mit der Verwendung von **Astrill VPN** und dem Fokus auf Kryptowährungen und Entwickler, weisen Ähnlichkeiten mit nordkoreanischen Akteuren wie **BlueNoroff**, **Contagious Interview** und **UNC1069** auf. **Wiz** hat jedoch bisher keine Infrastruktur-Überschneidungen gefunden, die **JINX-0164** mit Pjöngjang verbinden. „Ähnlich sind die Arten von gefälschten Domains denen ähnlich, die von anderen nordkoreanischen Akteuren verwendet werden; die Infrastruktur von JINX-0164 weist jedoch keine Überschneidungen mit anderen öffentlich verfolgten nordkoreanischen Gruppen auf“, schloss **Wiz**.