Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) JINX-0164 Trusselaktør

JINX-0164 Trusselaktør

Med Mezo i Advanced Persistent Threat (APT), Malware, Mobil malware
Oversæt til:

En tidligere udokumenteret trusselsaktør identificeret som JINX-0164 har orkestreret en meget målrettet cyberkampagne mod kryptovalutaorganisationer ved hjælp af rekrutteringsbaseret social engineering og specialbygget macOS-malware til at stjæle digitale aktiver. Den økonomisk motiverede gruppe, der har været aktiv siden mindst midten af 2025, har fokuseret stærkt på udviklere og i mindst én bekræftet hændelse udført en kompromittering af softwareforsyningskæden.

Kampagnen demonstrerer en avanceret kombination af vildledende rekrutteringstaktikker, malware-implementering og dyb infiltration af CI/CD-miljøer. Ved at kompromittere medarbejderarbejdsstationer lykkedes det angriberne at bevæge sig lateralt ind i udviklingsinfrastruktur og kodedistributionssystemer, hvilket øgede omfanget og virkningen af indtrængen betydeligt.

Rekrutteringssvindel bliver indgangspunktet

JINX-0164 er afhængig af at overbevise LinkedIn-personaer om at indlede kontakt med målrettede udviklere og medarbejdere, der arbejder i kryptovaluta-relaterede organisationer. Ofrene inviteres til at deltage i virtuelle møder, der afholdes på falske domæner, og som udgiver sig for at være legitime telekonferenceplatforme.

Under opsætningen af det falske møde bliver målene bedt om at downloade, hvad der ser ud til at være en mødeklient eller en teknisk løsning. I virkeligheden starter den downloadede fil infektionskæden ved at hente en Python-baseret macOS-infostealer og fjernadgangstrojan kendt som AUDIOFIX fra et forfalsket driverdistributionsdomæne, 'apple.driver-store.com'.

Infektionsprocessen muliggøres via et bash-script, der er i stand til at identificere offerets systemarkitektur, hvilket gør det muligt for malwaren at fungere problemfrit på både Intel-baserede og Apple Silicon macOS-enheder. Nyttelasten forklæder sig som en systemlyddriver ved navn 'coreaudiod', gemmes lokalt som 'ChromeUpdater' og startes ved hjælp af macOS launchctl-mekanismer for at opretholde persistens.

AUDIOFIX muliggør dyb systemkompromis

Når AUDIOFIX er implementeret, udfører det omfattende operationer for tyveri af legitimationsoplysninger og rekognoscering, samtidig med at det understøtter lateral bevægelse ind i den interne infrastruktur. Forskere observerede, at malwaren blev brugt til at injicere ondsindede nyttelast i udviklingssystemer og ændre kildekode i forsøg på at kompromittere yderligere endpoints og indsamle legitimationsoplysninger til kryptovaluta-wallets.

Malwaren er i stand til at stjæle en bred vifte af følsomme oplysninger, herunder:

  • Loginoplysninger til adgangskodeadministrator, browserdata, iCloud-nøgleringsfiler, SSH-nøgler, administratoroplysninger, konsolhistorikposter og konfigurationsfiler
  • Adresser til kryptovaluta-wallets, browserudvidelsesdata knyttet til kryptotjenester og aktive sessioner fra Discord, Slack og Telegram

Ud over informationstyveri understøtter AUDIOFIX også fjernudførelse af kommandoer, filsletning, levering af nyttelast, rekognosceringsaktiviteter og dataudrensning fra inficerede systemer.

MiniRAT udvider truslen gennem misbrug af forsyningskæden

En anden vigtig del af operationen er MiniRAT, en Go-baseret bagdør knyttet til en kompromitteret npm-pakke ved navn '@velora-dex/sdk'. Pakken var forbundet med et legitimt decentraliseret finansværktøjssæt, der blev brugt til token-swaps, deltahandel og limitordrer på VeloraDEX-platformen.

Den ondsindede version af pakken hentede et shell-script fra en ekstern server og implementerede i sidste ende en macOS-specifik MiniRAT-binærfil. Når malwaren var installeret, gjorde den det muligt for angriberne at uploade filer, udføre vilkårlige shell-kommandoer og downloade yderligere nyttelast fra angriberkontrolleret infrastruktur.

JINX-0164 har gentagne gange genbrugt social engineering-taktikker, der involverer falske rekrutteringsmuligheder og opdigtede tekniske problemer, der kræver, at ofrene installerer falske softwarerettelser. Denne konsekvente metode fremhæver gruppens stærke vægt på menneskelig manipulation som en primær indtrængningsvektor.

Mulige forbindelser til nordkoreanske cyberoperationer

Flere karakteristika ved kampagnen minder om aktivitet, der tidligere var forbundet med nordkoreanske cybertrusselsgrupper som BlueNoroff, Contagious Interview og UNC1069. Forskerne bemærkede ligheder i målretningsmønstre, forfalskede domæner og brugen af VPN-tjenester som Astrill VPN.

Trods disse overlapninger har efterforskerne ikke identificeret nogen bekræftede infrastrukturforbindelser, der forbinder JINX-0164 direkte med nordkoreanske statsstøttede operationer. Nuværende beviser tyder på operationelle ligheder snarere end en definitiv tilskrivning.

Trending

Mest sete

Indlæser...