Nach Angaben von Blackpoint Cyber begann der Angriff mit der Ausnutzung von CVE-2026-48558 auf einem öffentlich erreichbaren SimpleHelp-Server. Die Forscher der Adversary Pursuit Group beobachteten, dass sich der Angreifer dadurch eine authentifizierte Technikersitzung verschaffte. Damit standen ihm dieselben Fernverwaltungsfunktionen zur Verfügung wie einem regulären IT-Administrator.

Im nächsten Schritt verteilten die Angreifer massenhaft einen verschleierten JavaScript-Loader, den Blackpoint unter dem Namen TaskWeaver verfolgt. Die Datei wurde als harmloses Skript mit dem Namen jsquery.js getarnt und auf temporärer Cloudflare-Infrastruktur gehostet. Laut Blackpoint diente TaskWeaver dazu, kompromittierte Systeme zu fingerprinten, die Kommunikation mit einem Command-and-Control-Server aufzubauen und anschließend Djinn Stealer nachzuladen.

Blackpoint beschreibt Djinn Stealer in seinem Blog als Malware, die darauf ausgelegt ist, „einen Entwicklerrechner in einem einzigen Durchlauf von allem Wertvollen zu befreien“. Dazu zählen Cloud-Zugangsdaten, SSH-Schlüssel, API-Schlüssel, Zugangsdaten von Dienstkonten und weitere Infrastruktur-Geheimnisse. Nach Beobachtungen von Blackpoint suchte die Malware auch nach Anmeldedaten für Paket-Register und Build-Tool-Ökosysteme wie npm, Yarn, NuGet, Composer, Maven und PyPI.

Die Sicherheitsfirma weist darauf hin, dass Angreifer mit solchen Zugangsdaten auf private Pakete zugreifen, schädliche Software veröffentlichen, Abhängigkeiten verändern und weitere Lieferkettenangriffe ausführen könnten. Technisch ist Djinn Stealer laut Blackpoint so gebaut, dass er die gestohlenen Daten auf dem Endpunkt sammelt, paketiert und vor der Exfiltration mit AES-256-GCM verschlüsselt. Der dazugehörige Schlüssel wird mit RSA-2048 abgesichert.

Besonders hebt Blackpoint hervor, dass Djinn Stealer auf Zugangsdaten im Umfeld von KI-Entwicklungswerkzeugen und -Agenten vorbereitet ist. Genannt werden lokale Konfigurationsdateien für Dienste wie Claude, Gemini, Codex, Cline, OpenCode und Kilo. Viele dieser Werkzeuge nutzen laut Blackpoint das Model Context Protocol, um einen KI-Assistenten im Namen des Entwicklers mit externen Werkzeugen und Datenquellen zu verbinden, darunter Quellcode-Repositories, Datenbanken, Cloud-Konten und interne Programmierschnittstellen.

Nevan Beal, Principal MDR Analyst bei Blackpoint, erklärt, dass mit der stärkeren Einbettung von KI in Entwicklungs-, Administrations- und Geschäftsabläufe auch die zugehörigen Zugangsdaten für Angreifer wertvoller würden. Djinn Stealer falle nicht nur wegen des Bezugs zu KI auf, sondern wegen der ungewöhnlich breiten Sammlungsvorgaben: Sie umfassen neben KI-Werkzeugen auch CI/CD-Zugangsdaten, Authentifizierung für Paket-Register, Cloud-Konfigurationen, Zugänge zur Quellcodeverwaltung sowie klassische Browser- und Wallet-Daten. Diese Breite deute auf einen gezielten Fokus auf Identitäten und Integrationen hin, die moderne Entwickler und Administratoren mit dem restlichen Unternehmen verbinden.

Sam Decker, Threat-Intelligence-Ingenieur bei Blackpoint, sagt, das Unternehmen habe die Kampagne derzeit keinem bestimmten Akteur zuordnen können. Die Architektur von TaskWeaver und Djinn Stealer spreche jedoch für „eine fähige, gezielte Operation, die auf das Auffinden und Einsammeln hochwertiger Geheimnisse ausgerichtet ist“. Zudem nutzte der Akteur laut Decker typosquattete Microsoft-Infrastruktur, um unauffällig zu wirken: Der erste Command-and-Control-Server gab sich als legitime Microsoft Dev Tunnels aus, und der User-Agent für die Exfiltration war so gestaltet, dass er wie normale Microsoft-Telemetrie wirkte.

Nach Deckers Einschätzung deutet das Beobachtete eher auf opportunistisches Scannen nach im Internet exponierten, verwundbaren SimpleHelp-Instanzen hin als auf eine Jagd nach bestimmten Zielen. Blackpoint habe keine weiteren eigenen Kunden mit Auswirkungen gesehen, halte es aber für gut möglich, dass derselbe Akteur andere exponierte Instanzen ebenfalls getroffen hat.