다중 라이센스 할인 견적
위협 데이터베이스 지능형 지속 위협(APT) JINX-0164 위협 행위자

JINX-0164 위협 행위자

지능형 지속 위협(APT), 멀웨어, 모바일 맬웨어년에 Mezo 년까지
번역 :

이전에 기록되지 않은 JINX-0164라는 신원 미상의 사이버 공격자가 암호화폐 관련 기업들을 대상으로 고도의 표적 공격을 감행했습니다. 이들은 채용을 가장한 소셜 엔지니어링 기법과 맞춤형 macOS 악성코드를 이용하여 디지털 자산을 탈취했습니다. 최소 2025년 중반부터 활동해 온 이 금전적 이득을 노리는 그룹은 개발자들을 집중적으로 공격했으며, 최소 한 건의 확인된 사건에서는 소프트웨어 공급망을 침해하기도 했습니다.

이번 공격 캠페인은 기만적인 채용 전략, 악성코드 배포, 그리고 CI/CD 환경에 대한 심층 침투를 고도로 결합한 수법을 보여줍니다. 공격자들은 직원 워크스테이션을 해킹하여 개발 인프라 및 코드 배포 시스템으로 성공적으로 침투함으로써 침입의 범위와 영향력을 크게 확대했습니다.

채용 사기가 진입점이 됩니다

JINX-0164는 링크드인에서 실제와 다른 인물을 사칭하여 암호화폐 관련 기업에 근무하는 개발자 및 직원들을 대상으로 접촉을 시도합니다. 피해자들은 합법적인 화상 회의 플랫폼을 사칭하는 가짜 도메인에서 진행되는 온라인 회의에 참여하도록 유도됩니다.

가짜 회의 설정 과정에서 피해자는 회의 클라이언트 또는 기술 수정 프로그램으로 보이는 파일을 다운로드하라는 지시를 받습니다. 하지만 실제로는 다운로드한 파일이 'apple.driver-store.com'이라는 위조된 드라이버 배포 도메인에서 AUDIOFIX라는 파이썬 기반 macOS 정보 탈취 및 원격 접속 트로이목마를 가져와 감염을 시작합니다.

감염 과정은 피해자의 시스템 아키텍처를 식별할 수 있는 bash 스크립트를 통해 이루어지며, 이를 통해 악성코드는 인텔 기반 및 애플 실리콘 기반 macOS 기기 모두에서 원활하게 작동할 수 있습니다. 악성코드는 'coreaudiod'라는 시스템 오디오 드라이버로 위장하고, 'ChromeUpdater'라는 이름으로 로컬에 저장되며, macOS의 launchctl 메커니즘을 사용하여 실행되어 지속성을 유지합니다.

AUDIOFIX는 시스템에 심각한 침투를 가능하게 합니다.

AUDIOFIX는 배포 후 광범위한 자격 증명 탈취 및 정찰 작업을 수행하는 동시에 내부 인프라로의 측면 이동을 지원합니다. 연구원들은 이 멀웨어가 개발 시스템에 악성 페이로드를 주입하고 소스 코드를 수정하여 추가 엔드포인트를 침해하고 암호화폐 지갑 자격 증명을 탈취하려는 시도에 사용되는 것을 확인했습니다.

해당 악성 소프트웨어는 다음과 같은 다양한 중요 정보를 탈취할 수 있습니다.

  • 암호 관리자 자격 증명, 브라우저 데이터, iCloud 키체인 파일, SSH 키, 관리자 자격 증명, 콘솔 기록 및 구성 파일
  • 암호화폐 지갑 주소, 암호화폐 서비스와 연결된 브라우저 확장 프로그램 데이터, Discord, Slack 및 Telegram의 활성 세션 정보

정보 탈취 외에도 AUDIOFIX는 원격 명령 실행, 파일 삭제, 페이로드 전달, 정찰 활동 및 감염된 시스템에서 데이터 유출을 지원합니다.

MiniRAT은 공급망 악용을 통해 위협을 확대합니다.

이번 작전의 또 다른 주요 구성 요소는 '@velora-dex/sdk'라는 이름의 손상된 npm 패키지와 연관된 Go 기반 백도어인 MiniRAT입니다. 이 패키지는 VeloraDEX 플랫폼에서 토큰 스왑, 델타 거래 및 지정가 주문에 사용되는 합법적인 탈중앙화 금융 툴킷과 관련되어 있었습니다.

악성 패키지는 원격 서버에서 셸 스크립트를 가져와 최종적으로 macOS 전용 MiniRAT 바이너리를 배포합니다. 설치가 완료되면 공격자는 파일을 업로드하고, 임의의 셸 명령을 실행하고, 공격자가 제어하는 인프라에서 추가 페이로드를 다운로드할 수 있습니다.

JINX-0164는 가짜 채용 공고와 피해자가 사기성 소프트웨어를 설치하도록 유도하는 조작된 기술적 문제를 이용하는 사회공학적 수법을 반복적으로 사용해 왔습니다. 이러한 일관된 수법은 이 그룹이 인간 조작을 주요 침입 수단으로 삼고 있음을 보여줍니다.

북한의 사이버 작전과의 연관 가능성

이번 캠페인의 여러 특징은 블루노로프(BlueNoroff), 컨테이저스 인터뷰(Contagious Interview), UNC1069와 같은 북한 사이버 위협 그룹의 활동과 유사합니다. 연구원들은 공격 대상 패턴, 도메인 위장, 그리고 애스트릴 VPN(Astrill VPN)과 같은 VPN 서비스 사용에서 유사점을 발견했습니다.

이러한 유사점에도 불구하고, 수사관들은 JINX-0164를 북한 국가 지원 작전과 직접적으로 연결하는 확정적인 기반 시설 연결 고리를 발견하지 못했습니다. 현재까지의 증거는 명확한 연관성보다는 작전상의 유사성을 시사할 뿐입니다.

트렌드

사서함 서비스 업그레이드 관련 이메일 사기

피싱, 스팸
즉각적인 조치를 요구하는 예상치 못한 이메일은 항상 주의해야 합니다. 사이버 범죄자들은 민감한 정보를 탈취하기 위해 피싱 공격을 일상적인 보안 경고나 서비스 알림으로 위장하는 경우가 많습니다. 소위 '메일함 서비스 업그레이드' 이메일은 이러한 사기의 일종이며, 어떠한 합법적인 이메일 제공업체, 회사, 기관 또는 공식 단체와도 관련이 없습니다. 가짜 사서함 업그레이드 알림 사이버 보안 연구원들은 '사서함 서비스 업그레이드' 이메일을 분석한 결과, 수신자가 이메일 계정 정보를 제공하도록 유도하는 피싱 메시지임을 확인했습니다. 이러한 이메일은 일반적으로 '보안 공지. 사서함을 업그레이드하십시오.'라는 제목으로 발송되며, 사서함 서비스 제공업체에서 보낸 자동 알림처럼...

Kazowin Casino Scam

불량 웹사이트
Kazowin은 온라인 도박을 통해 손쉽게 암호화폐를 획득할 수 있는 방법을 제시합니다. 무료 초기 자금, 낮은 위험, 화면에 바로 표시되는 빠른 계좌 잔액 증가 등 매력적인 조건을 내세우고 있습니다. 이러한 약속은 의심이 생기기 전에 신뢰를 구축하기 위한 전략입니다. 합법적인 도박 플랫폼은 낯선 사람에게 조건이나 신원 확인 없이 거액의 무료...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
30,113
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
26,656
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

에포르너닷컴

문제
21,340
인터넷은 유용한 콘텐츠, 엔터테인먼트, 정보로 가득한 광활한 공간이지만, 어두운 구석도 있습니다. TV 프로그램을 스트리밍하든, 앱을 다운로드하든, 성인 콘텐츠 플랫폼을 방문하든 항상 경계해야 합니다. 많은 사이트, 특히 공격적인 광고로 성행하는 사이트는 심각한 보안 위험을 초래할 수 있습니다. 이러한 우려를 불러일으킨 사이트 중 하나가 바로...
로드 중...