JINX-0164 Threat Actor

גורם איום שלא תועד בעבר, שזוהה כ-JINX-0164, תזמר קמפיין סייבר ממוקד מאוד נגד ארגוני קריפטוגרפיה, תוך שימוש בהנדסה חברתית בנושא גיוס קוד ותוכנות זדוניות של macOS שנבנו בהתאמה אישית כדי לגנוב נכסים דיגיטליים. הקבוצה, הפעילה מאז אמצע 2025 לפחות, התמקדה במידה רבה במפתחים, ובמקרה אחד לפחות שאושר, ביצעה פריצה לשרשרת האספקה של תוכנה.

הקמפיין מדגים שילוב מתקדם של טקטיקות גיוס מטעות, פריסת תוכנות זדוניות וחדירה עמוקה לסביבות CI/CD. על ידי פגיעה בתחנות עבודה של עובדים, התוקפים הצליחו להיכנס לרוחב תשתית הפיתוח ומערכות הפצת הקוד, ובכך להגדיל משמעותית את היקף והשפעת החדירות.

הונאות גיוס הופכות לנקודת הכניסה

JINX-0164 מסתמך על שכנוע פרסונות בלינקדאין ליזום קשר עם מפתחים ועובדים ממוקדים העובדים בארגונים הקשורים למטבעות קריפטוגרפיים. הקורבנות מוזמנים להשתתף בפגישות וירטואליות המתקיימות בדומיינים הונאה המתחזים לפלטפורמות שיחות ועידה לגיטימיות.

במהלך תהליך הגדרת הפגישה המזויפת, המטרות מתבקשות להוריד מה שנראה כלקוח פגישה או תיקון טכני. במציאות, הקובץ שהורד מתחיל את שרשרת ההדבקה על ידי אחזור גונב מידע מבוסס פייתון של macOS וטרויאן גישה מרחוק המכונה AUDIOFIX מדומיין הפצת דרייברים מזויף, 'apple.driver-store.com'.

תהליך ההדבקה מתאפשר באמצעות סקריפט bash המסוגל לזהות את ארכיטקטורת המערכת של הקורבן, מה שמאפשר לתוכנה הזדונית לפעול בצורה חלקה הן על מכשירי macOS מבוססי אינטל והן על מכשירי Apple Silicon. המטען מתחזה למנהל התקן שמע של המערכת בשם 'coreaudiod', מאוחסן באופן מקומי בשם 'ChromeUpdater', ומופעל באמצעות מנגנוני macOS launchctl כדי לשמור על נוכחות.

AUDIOFIX מאפשר פגיעה עמוקה במערכת

לאחר הפריסה, AUDIOFIX מבצעת פעולות נרחבות של גניבת אישורים וסיור, תוך תמיכה גם בתנועה רוחבית לתשתיות פנימיות. חוקרים צפו בתוכנה הזדונית המשמשת להחדרת מטענים זדוניים למערכות פיתוח ולשינוי קוד מקור בניסיונות לפגוע בנקודות קצה נוספות ולקצור אישורים של ארנקי קריפטוגרפיים.

התוכנה הזדונית מסוגלת לגנוב מגוון רחב של מידע רגיש, כולל:

• פרטי גישה למנהל סיסמאות, נתוני דפדפן, קבצי מחזיקי מפתחות iCloud, מפתחות SSH, פרטי גישה למנהל מערכת, רשומות היסטוריית קונסולה וקבצי תצורה
• כתובות ארנקי מטבעות קריפטוגרפיים, נתוני הרחבות דפדפן המקושרות לשירותי קריפטו, וסשנים פעילים מדיסקורד, סלאק וטלגרם

מעבר לגניבת מידע, AUDIOFIX תומך גם בביצוע פקודות מרחוק, מחיקת קבצים, העברת מטען, פעילויות סיור וחילוץ נתונים ממערכות נגועות.

MiniRAT מרחיב את האיום באמצעות ניצול לרעה בשרשרת האספקה

מרכיב עיקרי נוסף של המבצע הוא MiniRAT, דלת אחורית מבוססת Go הקשורה לחבילת npm פרוצה בשם '@velora-dex/sdk'. החבילה הייתה קשורה לערכת כלים פיננסית מבוזרת לגיטימית המשמשת להחלפות אסימונים, מסחר דלתא והוראות גבול בפלטפורמת VeloraDEX.

הגרסה הזדונית של החבילה אחזורה סקריפט מעטפת משרת מרוחק, ובסופו של דבר פרסה קובץ בינארי ספציפי ל-macOS, MiniRAT. לאחר ההתקנה, התוכנה הזדונית אפשרה לתוקפים להעלות קבצים, לבצע פקודות מעטפת שרירותיות ולהוריד מטענים נוספים מתשתית הנשלטת על ידי התוקף.

JINX-0164 השתמשה שוב ושוב בטקטיקות של הנדסה חברתית הכוללות הזדמנויות גיוס מזויפות ובדה בעיות טכניות המחייבות קורבנות להתקין תיקוני תוכנה הונאה. מתודולוגיה עקבית זו מדגישה את הדגש החזק של הקבוצה על מניפולציה אנושית כווקטור חדירה עיקרי.

קשרים אפשריים לפעולות סייבר בצפון קוריאה

מספר מאפיינים של הקמפיין דומים לפעילות שקושרת בעבר עם קבוצות איומי סייבר צפון קוריאניות כמו BlueNoroff, Contagious Interview ו-UNC1069. החוקרים ציינו קווי דמיון בדפוסי מיקוד, דומיינים מזויפים ושימוש בשירותי VPN כמו Astrill VPN.

למרות חפיפות אלו, החוקרים לא זיהו קשרי תשתית מאומתים המקשרים ישירות את JINX-0164 לפעולות בחסות המדינה בצפון קוריאה. ראיות עדכניות מצביעות על דמיון מבצעי ולא ייחוס חד משמעי.