JINX-0164 Ohunäitleja
Varem dokumenteerimata ohutegija, keda identifitseeriti kui JINX-0164, on korraldanud krüptovaluutaorganisatsioonide vastu sihipärase küberkampaania, kasutades digitaalsete varade varastamiseks värbamisteemalist sotsiaalset manipuleerimist ja kohandatud macOS-i pahavara. Vähemalt 2025. aasta keskpaigast aktiivne olnud rahaliselt motiveeritud rühmitus on keskendunud suuresti arendajatele ja vähemalt ühes kinnitatud intsidendis on ta pannud toime tarkvara tarneahela rikkumise.
Kampaania demonstreerib petlike värbamistaktikate, pahavara juurutamise ja CI/CD keskkondade sügavale tungimise täiustatud kombinatsiooni. Töötajate tööjaamu rikkudes liikusid ründajad edukalt arendusinfrastruktuuri ja koodijaotussüsteemidesse, suurendades oluliselt sissetungide ulatust ja mõju.
Sisukord
Värbamispettustest saab sisenemispunkt
JINX-0164 tugineb LinkedIni profiilide veenmisele, et nad võtaksid ühendust sihtrühma kuuluvate krüptovaluutaga seotud organisatsioonide arendajate ja töötajatega. Ohvreid kutsutakse osalema virtuaalsetel koosolekutel, mida korraldatakse petturlikel domeenidel, mis jäljendavad seaduslikke telekonverentsiplatvorme.
Võltsitud koosoleku seadistamise käigus antakse sihtmärkidele juhised alla laadida midagi, mis näib olevat koosoleku klient või tehniline lahendus. Tegelikkuses käivitab allalaaditud fail nakkusahela, hankides võltsitud draiverite levitamise domeenilt „apple.driver-store.com” Pythonil põhineva macOS-i infovarastaja ja kaugjuurdepääsu trooja nimega AUDIOFIX.
Nakatumisprotsessi hõlbustab bash-skript, mis suudab tuvastada ohvri süsteemi arhitektuuri, võimaldades pahavaral sujuvalt töötada nii Inteli-põhistel kui ka Apple Silicon macOS-i seadmetel. Kasulik koormus maskeerib end süsteemi helidraiveriks nimega „coreaudiod”, mis on lokaalselt salvestatud nimega „ChromeUpdater” ja käivitatakse püsivuse säilitamiseks macOS-i launchctl mehhanismide abil.
AUDIOFIX võimaldab sügavat süsteemi kompromiteerimist
Pärast juurutamist teostab AUDIOFIX ulatuslikke volituste varguse ja luureoperatsioone, toetades samal ajal ka sisemisse infrastruktuuri sisenemist. Teadlased täheldasid, et pahavara kasutati pahatahtliku sisu sisestamiseks arendussüsteemidesse ja lähtekoodi muutmiseks, et rikkuda täiendavaid lõpp-punkte ja koguda krüptovaluuta rahakoti volitusi.
Pahavara on võimeline varastama laia valikut tundlikku teavet, sealhulgas:
- Paroolihalduri identimisandmed, brauseri andmed, iCloudi võtmehoidja failid, SSH-võtmed, administraatori identimisandmed, konsooli ajaloo kirjed ja konfiguratsioonifailid
- Krüptovaluuta rahakottide aadressid, krüptoteenustega seotud brauseri laienduste andmed ning aktiivsed seansid Discordist, Slackist ja Telegramist
Lisaks infovargusele toetab AUDIOFIX ka käskude kaugkäivitamist, failide kustutamist, kasuliku koormuse edastamist, luuretegevust ja andmete väljavoolu nakatunud süsteemidest.
MiniRAT laiendab ohtu tarneahela kuritarvitamise kaudu
Teine oluline osa operatsioonist on MiniRAT, Go-põhine tagauks, mis on seotud ohustatud npm-paketiga nimega '@velora-dex/sdk'. Pakett oli seotud legitiimse detsentraliseeritud finantstööriistakomplektiga, mida kasutati tokenivahetustehingute, delta-kauplemise ja limiitorderite jaoks VeloraDEX platvormil.
Paketi pahatahtlik versioon hankis kaugserverist shelliskripti, juurutades lõpuks macOS-spetsiifilise MiniRAT-i binaarfaili. Pärast installimist võimaldas pahavara ründajatel faile üles laadida, suvalisi shellikäsklusi käivitada ja ründaja kontrollitavast infrastruktuurist täiendavaid koormusi alla laadida.
JINX-0164 on korduvalt taaskasutanud sotsiaalse manipuleerimise taktikaid, mis hõlmavad võltsitud värbamisvõimalusi ja väljamõeldud tehnilisi probleeme, mis nõuavad ohvritelt petturlike tarkvaraparanduste installimist. See järjepidev metoodika rõhutab grupi tugevat rõhuasetust inimmanipulatsioonile kui peamisele sissetungimise vektorile.
Võimalikud seosed Põhja-Korea küberoperatsioonidega
Mitmed kampaania omadused meenutavad tegevust, mida varem seostati Põhja-Korea küberohtude rühmitustega nagu BlueNoroff, Contagious Interview ja UNC1069. Teadlased märkasid sarnasusi sihtimismustrites, võltsdomeenides ja VPN-teenuste, näiteks Astrill VPN-i, kasutamises.
Vaatamata neile kattumistele ei ole uurijad tuvastanud ühtegi kinnitatud taristuühendust, mis seoks JINX-0164 otse Põhja-Korea riiklikult toetatud operatsioonidega. Praegused tõendid viitavad pigem operatiivsetele sarnasustele kui lõplikule omistamisele.
