Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Actor d'amenaces JINX-0164

Actor d'amenaces JINX-0164

El Mezo el Amenaça persistent avançada (APT), Programari maliciós, Programari maliciós mòbil
Traduir a:

Un actor d'amenaces indocumentat prèviament identificat com a JINX-0164 ha orquestrat una campanya cibernètica molt específica contra organitzacions de criptomonedes, utilitzant enginyeria social amb temàtica de reclutament i programari maliciós de macOS personalitzat per robar actius digitals. Actiu des de com a mínim mitjans de 2025, el grup amb motivació financera s'ha centrat principalment en els desenvolupadors i, en almenys un incident confirmat, ha executat un compromís de la cadena de subministrament de programari.

La campanya demostra una combinació avançada de tàctiques de reclutament enganyoses, desplegament de programari maliciós i infiltració profunda en entorns de CI/CD. En comprometre les estacions de treball dels empleats, els atacants van aconseguir accedir lateralment a la infraestructura de desenvolupament i als sistemes de distribució de codi, augmentant significativament l'abast i l'impacte de les intrusions.

Les estafes de contractació es converteixen en el punt d’entrada

JINX-0164 es basa en convèncer les persones de LinkedIn perquè iniciïn contacte amb desenvolupadors i empleats específics que treballen en organitzacions relacionades amb les criptomonedes. Les víctimes són convidades a participar en reunions virtuals allotjades en dominis fraudulents que suplanten plataformes de teleconferència legítimes.

Durant el procés de configuració de la reunió falsa, s'indica als objectius que descarreguin el que sembla ser un client de reunió o una solució tècnica. En realitat, el fitxer descarregat inicia la cadena d'infecció recuperant un troià d'accés remot i lladre d'informació de macOS basat en Python conegut com a AUDIOFIX d'un domini de distribució de controladors fals, "apple.driver-store.com".

El procés d'infecció es facilita mitjançant un script bash capaç d'identificar l'arquitectura del sistema de la víctima, cosa que permet que el programari maliciós funcioni perfectament tant en dispositius macOS basats en Intel com en Apple Silicon. La càrrega útil es disfressa com un controlador d'àudio del sistema anomenat "coreaudiod", s'emmagatzema localment com a "ChromeUpdater" i s'inicia mitjançant mecanismes launchctl de macOS per mantenir la persistència.

AUDIOFIX permet un compromís profund del sistema

Un cop desplegat, AUDIOFIX realitza extenses operacions de robatori de credencials i reconeixement, alhora que dóna suport al moviment lateral cap a la infraestructura interna. Els investigadors van observar que el programari maliciós s'utilitzava per injectar càrregues útils malicioses en sistemes de desenvolupament i modificar el codi font en intents de comprometre punts finals addicionals i obtenir credencials de moneders de criptomoneda.

El programari maliciós és capaç de robar una àmplia gamma d'informació sensible, incloent:

  • Credencials del gestor de contrasenyes, dades del navegador, fitxers del clauer de l'iCloud, claus SSH, credencials d'administrador, registres de l'historial de la consola i fitxers de configuració
  • Adreces de moneders de criptomonedes, dades d'extensions del navegador vinculades a serveis de criptografia i sessions actives de Discord, Slack i Telegram

A més del robatori d'informació, AUDIOFIX també admet l'execució remota d'ordres, l'eliminació de fitxers, el lliurament de càrrega útil, les activitats de reconeixement i l'exfiltració de dades de sistemes infectats.

MiniRAT amplia l’amenaça a través de l’abús de la cadena de subministrament

Un altre component important de l'operació és MiniRAT, una porta del darrere basada en Go vinculada a un paquet npm compromès anomenat '@velora-dex/sdk'. El paquet estava associat amb un conjunt d'eines de finances descentralitzades legítim utilitzat per a intercanvis de tokens, negociació delta i ordres límit a la plataforma VeloraDEX.

La versió maliciosa del paquet recuperava un script de shell d'un servidor remot i, en última instància, implementava un binari MiniRAT específic de macOS. Un cop instal·lat, el programari maliciós permetia als atacants carregar fitxers, executar ordres de shell arbitràries i descarregar càrregues addicionals des de la infraestructura controlada pels atacants.

JINX-0164 ha reutilitzat repetidament tàctiques d'enginyeria social que impliquen falses oportunitats de reclutament i ha inventat problemes tècnics que obliguen les víctimes a instal·lar solucions de programari fraudulentes. Aquesta metodologia consistent destaca el fort èmfasi del grup en la manipulació humana com a principal vector d'intrusió.

Possibles vincles amb operacions cibernètiques de Corea del Nord

Diverses característiques de la campanya s'assemblen a l'activitat anteriorment associada amb grups de ciberamenaces nord-coreans com ara BlueNoroff, Contagious Interview i UNC1069. Els investigadors van observar similituds en els patrons de segmentació, els dominis falsificats i l'ús de serveis VPN com ara Astrill VPN.

Malgrat aquestes coincidències, els investigadors no han identificat cap connexió d'infraestructura confirmada que vinculi directament JINX-0164 amb operacions patrocinades per l'estat nord-coreà. L'evidència actual suggereix similituds operatives en lloc d'una atribució definitiva.

Tendència

Estafa de correu electrònic d'actualització del...

Phishing, Correu brossa
Els correus electrònics inesperats que exigeixen una acció immediata sempre s'han de tractar amb precaució. Els ciberdelinqüents solen disfressar campanyes de phishing com a alertes de seguretat rutinàries o notificacions de servei en un intent de robar informació confidencial. Els correus electrònics anomenats "Actualització del servei de bústia de correu" formen part d'una d'aquestes estafes...

Més vist

Carregant...