JINX-0164 खतरा पैदा करने वाला
JINX-0164 नामक एक अज्ञात साइबर हमलावर ने क्रिप्टोकरेंसी संगठनों के खिलाफ एक सुनियोजित साइबर अभियान चलाया है। भर्ती के बहाने सोशल इंजीनियरिंग और विशेष रूप से तैयार किए गए macOS मैलवेयर का उपयोग करके इसने डिजिटल संपत्तियां चुराई हैं। कम से कम 2025 के मध्य से सक्रिय इस वित्तीय रूप से प्रेरित समूह ने डेवलपर्स को निशाना बनाया है और कम से कम एक पुष्ट घटना में सॉफ्टवेयर सप्लाई चेन में सेंध लगाई है।
इस अभियान में धोखेबाज़ भर्ती रणनीति, मैलवेयर तैनाती और CI/CD वातावरण में गहन घुसपैठ का उन्नत संयोजन प्रदर्शित किया गया है। कर्मचारियों के वर्कस्टेशनों को हैक करके, हमलावरों ने सफलतापूर्वक विकास अवसंरचना और कोड वितरण प्रणालियों में घुसपैठ की, जिससे घुसपैठ का दायरा और प्रभाव काफी बढ़ गया।
विषयसूची
भर्ती घोटाले प्रवेश द्वार बन जाते हैं
JINX-0164, LinkedIn प्रोफाइल का इस्तेमाल करके क्रिप्टोकरेंसी से संबंधित संगठनों में काम करने वाले लक्षित डेवलपर्स और कर्मचारियों से संपर्क स्थापित करने के लिए पीड़ितों को प्रेरित करता है। पीड़ितों को फर्जी डोमेन पर आयोजित वर्चुअल मीटिंग में भाग लेने के लिए आमंत्रित किया जाता है, जो वैध टेलीकॉन्फ्रेंसिंग प्लेटफॉर्म होने का दिखावा करते हैं।
नकली मीटिंग सेटअप प्रक्रिया के दौरान, पीड़ितों को एक मीटिंग क्लाइंट या तकनीकी समाधान प्रतीत होने वाली फ़ाइल डाउनलोड करने का निर्देश दिया जाता है। वास्तव में, डाउनलोड की गई फ़ाइल 'apple.driver-store.com' नामक एक नकली ड्राइवर वितरण डोमेन से AUDIOFIX नामक एक पायथन-आधारित macOS सूचना-चोर और रिमोट एक्सेस ट्रोजन को प्राप्त करके संक्रमण की श्रृंखला शुरू करती है।
यह संक्रमण प्रक्रिया एक बैश स्क्रिप्ट के माध्यम से सुगम होती है जो पीड़ित के सिस्टम आर्किटेक्चर की पहचान करने में सक्षम है, जिससे मैलवेयर इंटेल-आधारित और ऐप्पल सिलिकॉन दोनों macOS डिवाइसों पर आसानी से काम कर सकता है। पेलोड खुद को 'coreaudiod' नामक सिस्टम ऑडियो ड्राइवर के रूप में छुपाता है, स्थानीय रूप से 'ChromeUpdater' के रूप में संग्रहीत होता है, और निरंतरता बनाए रखने के लिए macOS launchctl तंत्र का उपयोग करके लॉन्च किया जाता है।
AUDIOFIX सिस्टम में गंभीर सेंधमारी को सक्षम बनाता है
एक बार तैनात होने के बाद, AUDIOFIX व्यापक स्तर पर क्रेडेंशियल चोरी और जासूसी अभियान चलाता है, साथ ही आंतरिक बुनियादी ढांचे में घुसपैठ करने में भी सहायता करता है। शोधकर्ताओं ने पाया कि इस मैलवेयर का उपयोग विकास प्रणालियों में दुर्भावनापूर्ण पेलोड डालने और अतिरिक्त एंडपॉइंट्स को हैक करने और क्रिप्टोकरेंसी वॉलेट क्रेडेंशियल प्राप्त करने के प्रयासों में सोर्स कोड को संशोधित करने के लिए किया जा रहा था।
यह मैलवेयर कई प्रकार की संवेदनशील जानकारी चुराने में सक्षम है, जिनमें शामिल हैं:
- पासवर्ड मैनेजर क्रेडेंशियल, ब्राउज़र डेटा, iCloud कीचेन फ़ाइलें, SSH कुंजी, व्यवस्थापक क्रेडेंशियल, कंसोल इतिहास रिकॉर्ड और कॉन्फ़िगरेशन फ़ाइलें
- क्रिप्टोकरेंसी वॉलेट पते, क्रिप्टो सेवाओं से जुड़े ब्राउज़र एक्सटेंशन डेटा और Discord, Slack और Telegram से सक्रिय सत्र
सूचना की चोरी के अलावा, AUDIOFIX रिमोट कमांड निष्पादन, फ़ाइल विलोपन, पेलोड वितरण, जासूसी गतिविधियों और संक्रमित सिस्टम से डेटा निकालने का भी समर्थन करता है।
मिनीआरएटी आपूर्ति श्रृंखला के दुरुपयोग के माध्यम से खतरे को बढ़ाता है
इस ऑपरेशन का एक और प्रमुख घटक मिनीआरएटी है, जो गो-आधारित एक बैकडोर है और '@velora-dex/sdk' नामक एक समझौता किए गए एनपीएम पैकेज से जुड़ा है। यह पैकेज वेलोराडेक्स प्लेटफॉर्म पर टोकन स्वैप, डेल्टा ट्रेडिंग और लिमिट ऑर्डर के लिए उपयोग किए जाने वाले एक वैध विकेन्द्रीकृत वित्त टूलकिट से संबंधित था।
इस दुर्भावनापूर्ण पैकेज ने एक रिमोट सर्वर से शेल स्क्रिप्ट प्राप्त की और अंततः macOS के लिए विशेष रूप से डिज़ाइन किया गया MiniRAT बाइनरी इंस्टॉल कर दिया। इंस्टॉल होने के बाद, इस मैलवेयर ने हमलावरों को फाइलें अपलोड करने, मनमाने शेल कमांड चलाने और हमलावर के नियंत्रण वाले इंफ्रास्ट्रक्चर से अतिरिक्त पेलोड डाउनलोड करने में सक्षम बना दिया।
JINX-0164 ने फर्जी भर्ती अवसरों और मनगढ़ंत तकनीकी समस्याओं से जुड़े सामाजिक इंजीनियरिंग हथकंडों का बार-बार इस्तेमाल किया है, जिनमें पीड़ितों को धोखाधड़ी वाले सॉफ़्टवेयर फिक्स इंस्टॉल करने के लिए मजबूर किया जाता है। यह लगातार कार्यप्रणाली समूह द्वारा मानव हेरफेर को घुसपैठ के प्राथमिक माध्यम के रूप में इस्तेमाल करने पर ज़ोर देती है।
उत्तर कोरियाई साइबर अभियानों से संभावित संबंध
इस अभियान की कई विशेषताएं उत्तर कोरियाई साइबर खतरे वाले समूहों जैसे ब्लू नॉरॉफ, कॉन्टेजियस इंटरव्यू और यूएनसी1069 से पहले जुड़ी गतिविधियों से मिलती-जुलती हैं। शोधकर्ताओं ने लक्ष्यीकरण पैटर्न, नकली डोमेन और एस्ट्रिल वीपीएन जैसी वीपीएन सेवाओं के उपयोग में समानताएं देखीं।
इन समानताओं के बावजूद, जांचकर्ताओं ने JINX-0164 को उत्तर कोरियाई राज्य-प्रायोजित अभियानों से सीधे जोड़ने वाले किसी भी पुष्ट अवसंरचनात्मक संबंध की पहचान नहीं की है। वर्तमान साक्ष्य निर्णायक संबंध स्थापित करने के बजाय परिचालन संबंधी समानताओं का संकेत देते हैं।
