JINX-0164 হুমকি সৃষ্টিকারী
JINX-0164 নামে পরিচিত, পূর্বে অনুল্লিখিত এক হুমকি সৃষ্টিকারী গোষ্ঠী ডিজিটাল সম্পদ চুরির উদ্দেশ্যে নিয়োগ-কেন্দ্রিক সোশ্যাল ইঞ্জিনিয়ারিং এবং বিশেষভাবে নির্মিত ম্যাকওএস ম্যালওয়্যার ব্যবহার করে ক্রিপ্টোকারেন্সি সংস্থাগুলোর বিরুদ্ধে একটি অত্যন্ত সুনির্দিষ্ট সাইবার অভিযান পরিচালনা করেছে। অন্তত ২০২৫ সালের মাঝামাঝি থেকে সক্রিয়, আর্থিকভাবে উদ্দেশ্যপ্রণোদিত এই দলটি ডেভেলপারদের ওপর ব্যাপকভাবে মনোযোগ দিয়েছে এবং অন্তত একটি নিশ্চিত ঘটনায় সফটওয়্যার সরবরাহ শৃঙ্খলে অনুপ্রবেশ করেছে।
এই অভিযানটি প্রতারণামূলক নিয়োগ কৌশল, ম্যালওয়্যার স্থাপন এবং CI/CD পরিবেশে গভীর অনুপ্রবেশের এক অত্যাধুনিক সংমিশ্রণ প্রদর্শন করে। কর্মীদের ওয়ার্কস্টেশন হ্যাক করার মাধ্যমে, আক্রমণকারীরা সফলভাবে ডেভেলপমেন্ট অবকাঠামো এবং কোড ডিস্ট্রিবিউশন সিস্টেমে প্রবেশ করে, যা এই অনুপ্রবেশের পরিধি ও প্রভাবকে উল্লেখযোগ্যভাবে বাড়িয়ে তোলে।
সুচিপত্র
নিয়োগ কেলেঙ্কারি প্রবেশদ্বার হয়ে ওঠে
JINX-0164 প্রতারণাটি লিঙ্কডইন প্রোফাইল ব্যবহার করে ক্রিপ্টোকারেন্সি-সম্পর্কিত সংস্থাগুলিতে কর্মরত নির্দিষ্ট ডেভেলপার এবং কর্মীদের সাথে যোগাযোগ স্থাপন করতে প্ররোচিত করে। ভুক্তভোগীদের বৈধ টেলিকনফারেন্সিং প্ল্যাটফর্মের ছদ্মবেশে প্রতারণামূলক ডোমেইনে আয়োজিত ভার্চুয়াল মিটিংয়ে অংশ নিতে আমন্ত্রণ জানানো হয়।
ভুয়া মিটিং সেটআপ করার প্রক্রিয়ার সময়, টার্গেটদেরকে এমন একটি ফাইল ডাউনলোড করার নির্দেশ দেওয়া হয় যা দেখতে মিটিং ক্লায়েন্ট বা টেকনিক্যাল ফিক্সের মতো মনে হয়। বাস্তবে, ডাউনলোড করা ফাইলটি 'apple.driver-store.com' নামক একটি স্পুফড ড্রাইভার ডিস্ট্রিবিউশন ডোমেইন থেকে AUDIOFIX নামে পরিচিত একটি পাইথন-ভিত্তিক ম্যাকওএস ইনফোস্টিলার এবং রিমোট অ্যাক্সেস ট্রোজান সংগ্রহ করার মাধ্যমে ইনফেকশন চেইন শুরু করে।
সংক্রমণ প্রক্রিয়াটি একটি ব্যাশ স্ক্রিপ্টের মাধ্যমে সহজতর করা হয়, যা ভুক্তভোগীর সিস্টেম আর্কিটেকচার শনাক্ত করতে সক্ষম। এর ফলে ম্যালওয়্যারটি ইন্টেল-ভিত্তিক এবং অ্যাপল সিলিকন উভয় ধরনের ম্যাকওএস ডিভাইসেই নির্বিঘ্নে কাজ করতে পারে। পেলোডটি 'coreaudiod' নামের একটি সিস্টেম অডিও ড্রাইভার হিসেবে ছদ্মবেশ ধারণ করে, স্থানীয়ভাবে 'ChromeUpdater' নামে সংরক্ষিত থাকে এবং স্থায়িত্ব বজায় রাখার জন্য ম্যাকওএস-এর launchctl মেকানিজম ব্যবহার করে চালু করা হয়।
অডিওফিক্স গভীর সিস্টেম আপস সক্ষম করে
একবার মোতায়েন করা হলে, AUDIOFIX ব্যাপক হারে ক্রেডেনশিয়াল চুরি এবং তথ্য সংগ্রহের অভিযান চালায়, পাশাপাশি অভ্যন্তরীণ অবকাঠামোতে পার্শ্বীয় অনুপ্রবেশকেও সমর্থন করে। গবেষকরা লক্ষ্য করেছেন যে, এই ম্যালওয়্যারটি ডেভেলপমেন্ট সিস্টেমে ক্ষতিকারক পেলোড প্রবেশ করাতে এবং সোর্স কোড পরিবর্তন করতে ব্যবহৃত হচ্ছে, যার উদ্দেশ্য হলো অতিরিক্ত এন্ডপয়েন্টগুলোর নিরাপত্তা বিঘ্নিত করা এবং ক্রিপ্টোকারেন্সি ওয়ালেটের ক্রেডেনশিয়াল হাতিয়ে নেওয়া।
এই ম্যালওয়্যারটি বিস্তৃত পরিসরের সংবেদনশীল তথ্য চুরি করতে সক্ষম, যার মধ্যে রয়েছে:
- পাসওয়ার্ড ম্যানেজার ক্রেডেনশিয়াল, ব্রাউজার ডেটা, আইক্লাউড কিচেইন ফাইল, এসএসএইচ কী, অ্যাডমিনিস্ট্রেটর ক্রেডেনশিয়াল, কনসোল হিস্ট্রি রেকর্ড এবং কনফিগারেশন ফাইল
- ক্রিপ্টোকারেন্সি ওয়ালেট অ্যাড্রেস, ক্রিপ্টো পরিষেবার সাথে সংযুক্ত ব্রাউজার এক্সটেনশন ডেটা, এবং ডিসকর্ড, স্ল্যাক ও টেলিগ্রামের সক্রিয় সেশনসমূহ।
তথ্য চুরি ছাড়াও, অডিওফিক্স দূরবর্তী কমান্ড কার্যকর করা, ফাইল মুছে ফেলা, পেলোড সরবরাহ, গোয়েন্দা কার্যক্রম এবং আক্রান্ত সিস্টেম থেকে ডেটা পাচার সমর্থন করে।
মিনির্যাট সরবরাহ শৃঙ্খলের অপব্যবহারের মাধ্যমে হুমকি প্রসারিত করে
এই অপারেশনের আরেকটি প্রধান উপাদান হলো মিনির্যাট (MiniRAT), যা '@velora-dex/sdk' নামের একটি হ্যাক হওয়া এনপিএম (npm) প্যাকেজের সাথে যুক্ত একটি গো (Go) ভিত্তিক ব্যাকডোর। এই প্যাকেজটি ভেলোরাডেক্স (VeloraDEX) প্ল্যাটফর্মে টোকেন সোয়াপ, ডেল্টা ট্রেডিং এবং লিমিট অর্ডারের জন্য ব্যবহৃত একটি বৈধ বিকেন্দ্রীভূত ফিনান্স টুলকিটের সাথে সম্পর্কিত ছিল।
প্যাকেজটির ক্ষতিকর সংস্করণটি একটি রিমোট সার্ভার থেকে একটি শেল স্ক্রিপ্ট সংগ্রহ করে এবং অবশেষে একটি macOS-নির্দিষ্ট MiniRAT বাইনারি স্থাপন করে। একবার ইনস্টল হয়ে গেলে, ম্যালওয়্যারটি আক্রমণকারীদের ফাইল আপলোড করতে, যথেচ্ছ শেল কমান্ড চালাতে এবং আক্রমণকারী-নিয়ন্ত্রিত পরিকাঠামো থেকে অতিরিক্ত পেলোড ডাউনলোড করতে সক্ষম করে।
JINX-0164 বারবার সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করেছে, যার মধ্যে রয়েছে ভুয়া নিয়োগের সুযোগ এবং মনগড়া প্রযুক্তিগত সমস্যা তৈরি করা, যা ভুক্তভোগীদের প্রতারণামূলক সফটওয়্যার ফিক্স ইনস্টল করতে বাধ্য করে। এই ধারাবাহিক কার্যপদ্ধতিটি অনুপ্রবেশের প্রধান মাধ্যম হিসেবে মানব কারসাজির ওপর গোষ্ঠীটির প্রবল গুরুত্বারোপকেই তুলে ধরে।
উত্তর কোরিয়ার সাইবার অপারেশনের সাথে সম্ভাব্য সংযোগ
এই প্রচারণার বেশ কিছু বৈশিষ্ট্য পূর্বে ব্লুনরফ, কন্টাজিয়াস ইন্টারভিউ এবং ইউএনসি১০৬৯-এর মতো উত্তর কোরীয় সাইবার হুমকি গোষ্ঠীগুলোর কার্যকলাপের সাথে সাদৃশ্যপূর্ণ। গবেষকরা লক্ষ্যবস্তু নির্ধারণের ধরণ, স্পুফড ডোমেইন এবং অ্যাস্ট্রিল ভিপিএন-এর মতো ভিপিএন পরিষেবা ব্যবহারের ক্ষেত্রে মিলগুলো লক্ষ্য করেছেন।
এই সাদৃশ্যগুলো থাকা সত্ত্বেও, তদন্তকারীরা জিনক্স-০১৬৪-কে সরাসরি উত্তর কোরিয়ার রাষ্ট্র-পৃষ্ঠপোষক অভিযানের সাথে যুক্ত করে এমন কোনো নিশ্চিত অবকাঠামোগত সংযোগ শনাক্ত করতে পারেননি। বর্তমান প্রমাণগুলো সুনির্দিষ্টভাবে উৎস নির্ধারণের চেয়ে বরং কার্যপরিচালনার সাদৃশ্যের দিকেই ইঙ্গিত করে।
