Über die manipulierte Meeting-Einladung werden die Opfer dazu gebracht, ein Programm herunterzuladen und zu installieren. Dieses lädt anschließend über ein auf einer gefälschten Treiber-Domain („apple.driver-store[.]com") gehostetes Bash-Skript einen Python-basierten macOS-Infostealer und Fernzugriffstrojaner mit dem Codenamen AUDIOFIX nach.

Laut Wiz lud das Skript von derselben Domain eine architekturbewusste Schadsoftware, die sowohl mit Intel- als auch mit Apple-Silicon-Systemen kompatibel ist. Die Datei tarnt sich als Systemaudiotreiber namens „coreaudiod", wurde unter dem Namen „ChromeUpdater" gespeichert und über launchctl ausgeführt.

Die Python-Malware dient dazu, sensible Daten vom infizierten Rechner zu stehlen, sich durch Einschleusen der AUDIOFIX-Schadsoftware seitlich zu internen Systemen der Code-Verteilung und zur Entwicklungsinfrastruktur zu bewegen sowie Quellcode zu verändern, um weitere Geräte zu kompromittieren und Zugangsdaten von Krypto-Wallets zu erbeuten.

Zu den abgegriffenen Daten zählen Zugangsdaten aus Passwortmanagern, Webbrowsern und iCloud-Keychain-Dateien, lokale Admin-Zugangsdaten, SSH-Schlüssel, Konfigurationsdateien, Konsolen-Verläufe, Informationen zu Krypto-Browsererweiterungen, Wallet-Adressen sowie aktive Sitzungen von Discord, Slack und Telegram. Darüber hinaus beherrscht AUDIOFIX Befehle für manuelle Erkundung, Datenexfiltration, das Ausführen beliebiger Shell-Kommandos, das Löschen von Dateien und das Nachladen weiterer Schadsoftware von einem externen Server.

Dieselbe Masche wendet JINX-0164 auch gegenüber Softwareentwicklern an, indem sich die Gruppe als Personalvermittler ausgibt: Ein vermeintliches Job-Angebot dient als Vorwand für ein Meeting, das einen gefälschten technischen Fehler anzeigt und das Opfer auffordert, einen „Fix" herunterzuladen – der zur Malware-Installation führt.

Ein weiterer Baustein des Arsenals ist MiniRAT, eine in Go geschriebene Hintertür. Sie wurde zuvor über eine kompromittierte Version des npm-Pakets @velora-dex/sdk verteilt, eines legitimen DeFi-Werkzeugkastens für Token-Tausch, Limit-Orders und Delta-Trading auf der dezentralen Börse VeloraDEX. Nach Angaben von SafeDep und StepSecurity aus dem vergangenen Monat lud die manipulierte Version ein Shell-Skript von einem entfernten Server nach, das wiederum eine macOS-spezifische Binärdatei namens MiniRAT auslieferte. Die Malware kann Dateien hochladen, beliebige Shell-Befehle ausführen und weitere Schadsoftware oder Werkzeuge von angreiferkontrollierten Domains nachladen.

Einige Aspekte der Kampagne – der Einsatz von VPN-Diensten wie Astrill VPN sowie der Fokus auf Kryptowährungen und Entwickler – erinnern laut Wiz an Vorgehensweisen mehrerer nordkoreanischer Bedrohungscluster wie BlueNoroff, Contagious Interview und UNC1069. Allerdings betont Wiz, dass es derzeit keine infrastrukturellen Überschneidungen gebe, die JINX-0164 mit Pjöngjang verbänden. Auch die Art der gefälschten Domains ähnele jener anderer nordkoreanischer Akteure, doch die Infrastruktur von JINX-0164 weise keine Überschneidungen mit anderen öffentlich verfolgten nordkoreanischen Gruppen auf.