Krypto-Entwickler fallen auf gefälschte LinkedIn-Anrufe herein und verlieren die Kontrolle über ihre Code-Pipelines

Eine Hackergruppe namens JINX-0164 kontaktiert Krypto-Entwickler über LinkedIn und lädt sie zu fingierten Treffen ein, die zur Infektion ihrer Rechner mit speziell entwickelter macOS-Malware führen.

Die Schadsoftware stiehltdentund kapert die Pipelines, die Entwickler zum Erstellen und Bereitstellen von Software nutzen. Das Cloud-Sicherheitsunternehmen Wiz veröffentlichte seine Ergebnisse am 27. Mai 2026.

Ein gefälschter Meeting-Link installiert die AUDIOFIX-Malware auf den Rechnern der Entwickler

Das Incidentdent Response-Team von Wiz brachte die Gruppe mit Angriffen in Verbindung, die mindestens bis Mitte des Jahres 2025 zurückreichen.

Angreifer kontaktieren einen Entwickler über LinkedIn mithilfe eines Profils, das legitim aussieht, schlagen ein geschäftliches Telefonat vor und senden einen Link zu einer gefälschten Website, die Microsoft Teams oder einem ähnlichen Videokonferenztool nachempfunden ist.

AUDIOFIX ist ein macOS-Virus, der sich unbemerkt installiert, sobald ein Opfer auf eine vermeintliche Meeting-URL klickt. Er ist auf Intel- und Apple-Silicon-Macs aktiv und wird über ein Skript verbreitet, das auf einer gefälschten Apple-Website gespeichert ist. Der Virus konfiguriert sich so, dass er nach einem Neustart aktiv bleibt, gibt sich als Systemaudiokomponente aus und kommuniziert über HTTPS mit den Angreifern.

Sobald die Schadsoftware auf dem Rechner installiert ist, sammelt sie gespeicherte Passwörter aus dem macOS-Schlüsselbund, Browser-dent, SSH-Schlüssel, Cloud-Zugriffstoken für AWS, GCP und Azure sowie Daten aus Krypto-Wallets. Wiz entdeckte außerdem, dass die Angreifer Passwörter direkt per Phishing abfingen und in verschlüsselten Dateien speicherten.

JINX-0164 unterscheidet sich von anderen Infostealern dadurch, dass es auf interne Code-Repositories und die Entwicklungsinfrastruktur abzielt.

In einer Fallstudie von Anfang 2026 dokumentierte Wiz, wie Angreifer gestohlene GitHub-Tokens nutzten, umtracmit dem Open-Source-Tool nord-stream. Anschließend schleusten sie ihre AUDIOFIX-Malware in interne Repositories ein, indem sie sich als legitime Entwickler ausgaben, Git-Commit-Metadaten fälschten und bösartigen Code in Hauptzweige einspielten oder bestehende Zweige übernahmen.

Andere Entwickler, die aus diesen manipulierten Repositories bezogen und kompilierten, wurdenmaticebenfalls infiziert. Der eigene Entwicklungs-Workflow der Organisation diente als Verbreitungsmechanismus. Der Wachsamkeitsmodus von GitHub, der Commits ohne verifizierte GPG-Signaturen kennzeichnet, deckte den Identitätsdiebstahl in mindestens einem Fall auf.

Die Gruppe führte außerdem einen bestätigten Lieferkettenangriff auf ein öffentliches npm-Paket durch. Am 7. April 2026 infizierte JINX-0164 die Version 4.9.1 von @velora-dex/sdk mit einem Trojaner, indem er einen Base64-kodierten Befehl einfügte, der ein entferntes Skript abrief und ausführte, das MINIRAT installierte. Es handelt sich dabei um eine schlanke, in Go geschriebene Backdoor, die auf Persistenz und die Ausführung entfernter Befehle ausgelegt ist.

Angreifer zielen auf cash und Code von Krypto-Entwicklern ab

AUDIOFIX und MINIRAT nutzen gemeinsame Command-and-Control-Domains wie datahub[.]ink, cloud-sync[.]online und byte-io[.]us. Die Angreifer leiten ihre Aktivitäten über Mullvad VPN, Astrill VPN und ExpressVPN, um ihren tatsächlichen Standort zu verschleiern.

Wiz stellte einige taktische Ähnlichkeiten mit den nordkoreanischen Bedrohungsclustern UNC1069 und Sapphire Sleet fest, fand aber keine direkten Überschneidungen in der Infrastruktur. JINX-0164 wird als eigenständiger und finanziell motivierter Bedrohungsakteur eingestuft.

Im Mai kompromittierten Hacker über 170 npm- und PyPI-Pakete, darunter die offizielle Mistral AI Python-Bibliothek. Durch diesen Angriff wurden GitHub-Tokens und Cloud-dentvon Krypto- und KI-Entwicklern offengelegt. Dies war zudem der erste dokumentierte Fall von manipulierten Paketen mit gültigen SLSA-Build-Level-3-Herkunftsnachweisen, wodurch das kryptografische Vertrauensmodell zur Überprüfung der Build-Integrität untergraben wurde.

Hacking von Krypto- und KI-Entwicklern führt in der Regel zu cash und wertvollem Code. Kryptolabore und -unternehmen sollten ihre Cybersicherheitsmaßnahmen verstärken und ihre CI/CD-Pipelines auf unautorisierte Zugriffe oder schädliche Aktivitäten überprüfen. Nicht autorisierte GitHub-Aktionen, Commits mit nicht verifizierten Signaturen und ungewöhnliche VPN-Verbindungen sind Warnsignale. Entwickler, die an über LinkedIn einberufenen Meetings teilgenommen haben, sollten ihre Computer auf Viren scannen.