Attore della minaccia JINX-0164
Un gruppo di hacker precedentemente sconosciuto, identificato come JINX-0164, ha orchestrato una campagna informatica mirata contro organizzazioni del settore delle criptovalute, utilizzando tecniche di ingegneria sociale a scopo di reclutamento e malware macOS personalizzato per rubare risorse digitali. Attivo almeno dalla metà del 2025, il gruppo, motivato da interessi economici, si è concentrato principalmente sugli sviluppatori e, in almeno un caso confermato, ha compromesso la catena di fornitura del software.
La campagna dimostra una combinazione avanzata di tattiche di reclutamento ingannevoli, diffusione di malware e infiltrazione profonda negli ambienti CI/CD. Compromettendo le postazioni di lavoro dei dipendenti, gli aggressori sono riusciti a spostarsi lateralmente nell'infrastruttura di sviluppo e nei sistemi di distribuzione del codice, aumentando significativamente la portata e l'impatto delle intrusioni.
Sommario
Le truffe di reclutamento diventano il punto di ingresso
JINX-0164 si basa sulla creazione di profili LinkedIn convincenti per contattare sviluppatori e dipendenti di aziende operanti nel settore delle criptovalute. Le vittime vengono invitate a partecipare a riunioni virtuali ospitate su domini fraudolenti che imitano piattaforme di teleconferenza legittime.
Durante la procedura di configurazione della finta riunione, alle vittime viene chiesto di scaricare quello che sembra essere un client per le riunioni o una soluzione tecnica. In realtà, il file scaricato avvia la catena di infezione scaricando un trojan per macOS basato su Python, noto come AUDIOFIX, che funge da furto di informazioni e accesso remoto, da un dominio di distribuzione di driver contraffatto, "apple.driver-store.com".
Il processo di infezione è facilitato da uno script bash in grado di identificare l'architettura del sistema della vittima, consentendo al malware di operare senza problemi sia su dispositivi macOS basati su Intel che su Apple Silicon. Il payload si maschera da driver audio di sistema denominato "coreaudiod", viene memorizzato localmente come "ChromeUpdater" e viene avviato utilizzando i meccanismi launchctl di macOS per garantire la persistenza.
AUDIOFIX consente una compromissione profonda del sistema
Una volta installato, AUDIOFIX esegue operazioni estese di furto di credenziali e ricognizione, supportando al contempo la migrazione laterale all'interno dell'infrastruttura. I ricercatori hanno osservato il malware utilizzato per iniettare payload dannosi nei sistemi di sviluppo e modificare il codice sorgente nel tentativo di compromettere ulteriori endpoint e rubare le credenziali dei portafogli di criptovalute.
Il malware è in grado di rubare una vasta gamma di informazioni sensibili, tra cui:
- Credenziali del gestore password, dati del browser, file del Portachiavi iCloud, chiavi SSH, credenziali di amministratore, record della cronologia della console e file di configurazione.
- Indirizzi dei portafogli di criptovalute, dati delle estensioni del browser collegate ai servizi di criptovaluta e sessioni attive di Discord, Slack e Telegram.
Oltre al furto di informazioni, AUDIOFIX supporta anche l'esecuzione di comandi da remoto, la cancellazione di file, la distribuzione di payload, le attività di ricognizione e l'esfiltrazione di dati da sistemi infetti.
MiniRAT amplia la minaccia attraverso l’abuso della catena di approvvigionamento
Un altro componente fondamentale dell'operazione è MiniRAT, una backdoor basata su Go e collegata a un pacchetto npm compromesso denominato '@velora-dex/sdk'. Il pacchetto era associato a un toolkit legittimo per la finanza decentralizzata utilizzato per scambi di token, trading delta e ordini limite sulla piattaforma VeloraDEX.
La versione dannosa del pacchetto ha recuperato uno script di shell da un server remoto, installando infine un binario MiniRAT specifico per macOS. Una volta installato, il malware consentiva agli aggressori di caricare file, eseguire comandi di shell arbitrari e scaricare payload aggiuntivi da infrastrutture controllate dagli aggressori.
JINX-0164 ha ripetutamente riutilizzato tattiche di ingegneria sociale che prevedevano false opportunità di reclutamento e problemi tecnici inventati, costringendo le vittime a installare software di correzione fraudolenti. Questa metodologia coerente evidenzia la forte enfasi che il gruppo pone sulla manipolazione umana come principale vettore di intrusione.
Possibili collegamenti con operazioni informatiche nordcoreane
Diverse caratteristiche della campagna ricordano attività precedentemente associate a gruppi di cybercriminali nordcoreani come BlueNoroff, Contagious Interview e UNC1069. I ricercatori hanno notato somiglianze nei modelli di targeting, nei domini contraffatti e nell'uso di servizi VPN come Astrill VPN.
Nonostante queste sovrapposizioni, gli investigatori non hanno identificato alcun collegamento infrastrutturale confermato che colleghi direttamente JINX-0164 alle operazioni sponsorizzate dallo stato nordcoreano. Le prove attuali suggeriscono somiglianze operative piuttosto che un'attribuzione definitiva.
