JINX-0164 Pelakon Ancaman
Seorang pelaku ancaman yang sebelum ini tidak berdokumen yang dikenal pasti sebagai JINX-0164 telah mengatur kempen siber yang sangat disasarkan terhadap organisasi mata wang kripto, menggunakan kejuruteraan sosial bertemakan pengambilan pekerja dan perisian hasad macOS yang dibina khas untuk mencuri aset digital. Aktif sejak sekurang-kurangnya pertengahan 2025, kumpulan yang bermotivasi kewangan itu telah banyak memberi tumpuan kepada pembangun dan, dalam sekurang-kurangnya satu insiden yang disahkan, telah melaksanakan kompromi rantaian bekalan perisian.
Kempen ini menunjukkan gabungan canggih taktik perekrutan yang mengelirukan, penggunaan perisian hasad dan penyusupan mendalam ke dalam persekitaran CI/CD. Dengan menjejaskan stesen kerja pekerja, penyerang berjaya bergerak secara lateral ke dalam infrastruktur pembangunan dan sistem pengedaran kod, meningkatkan skop dan impak pencerobohan dengan ketara.
Isi kandungan
Penipuan Pengambilan Pekerja Menjadi Titik Kemasukan
JINX-0164 bergantung pada meyakinkan persona LinkedIn untuk memulakan hubungan dengan pembangun dan pekerja sasaran yang bekerja dalam organisasi berkaitan mata wang kripto. Mangsa dijemput untuk menyertai mesyuarat maya yang dihoskan pada domain palsu yang menyamar sebagai platform telepersidangan yang sah.
Semasa proses persediaan mesyuarat palsu, sasaran diarahkan untuk memuat turun apa yang kelihatan seperti klien mesyuarat atau pembaikan teknikal. Pada hakikatnya, fail yang dimuat turun memulakan rantaian jangkitan dengan mendapatkan semula trojan pencuri maklumat macOS berasaskan Python dan akses jauh yang dikenali sebagai AUDIOFIX daripada domain pengedaran pemacu palsu, 'apple.driver-store.com'.
Proses jangkitan difasilitasi melalui skrip bash yang mampu mengenal pasti seni bina sistem mangsa, membolehkan perisian hasad beroperasi dengan lancar pada kedua-dua peranti macOS berasaskan Intel dan Apple Silicon. Muatan menyamar sebagai pemacu audio sistem bernama 'coreaudiod', disimpan secara setempat sebagai 'ChromeUpdater', dan dilancarkan menggunakan mekanisme macOS launchctl untuk mengekalkan kegigihan.
AUDIOFIX Membolehkan Kompromi Sistem Mendalam
Setelah digunakan, AUDIOFIX akan menjalankan operasi kecurian dan peninjauan kelayakan yang meluas di samping menyokong pergerakan lateral ke dalam infrastruktur dalaman. Para penyelidik memerhatikan perisian hasad yang digunakan untuk menyuntik muatan berniat jahat ke dalam sistem pembangunan dan mengubah suai kod sumber dalam percubaan untuk menjejaskan titik akhir tambahan dan menuai kelayakan dompet mata wang kripto.
Malware ini mampu mencuri pelbagai maklumat sensitif, termasuk:
- Kelayakan pengurus kata laluan, data pelayar, fail Rantai Kunci iCloud, kunci SSH, kelayakan pentadbir, rekod sejarah konsol dan fail konfigurasi
- Alamat dompet mata wang kripto, data sambungan pelayar yang dipautkan kepada perkhidmatan kripto dan sesi aktif daripada Discord, Slack dan Telegram
Selain kecurian maklumat, AUDIOFIX juga menyokong pelaksanaan arahan jarak jauh, pemadaman fail, penghantaran muatan, aktiviti peninjauan dan penyaringan data daripada sistem yang dijangkiti.
MiniRAT Memperluas Ancaman Melalui Penyalahgunaan Rantaian Bekalan
Satu lagi komponen utama operasi ini ialah MiniRAT, pintu belakang berasaskan Go yang terikat dengan pakej npm yang dikompromi bernama '@velora-dex/sdk'. Pakej ini dikaitkan dengan toolkit kewangan terpencar yang sah yang digunakan untuk pertukaran token, perdagangan delta dan pesanan had pada platform VeloraDEX.
Versi berniat jahat pakej tersebut telah mengambil skrip shell daripada pelayan jauh, dan akhirnya menggunakan binari MiniRAT khusus macOS. Setelah dipasang, perisian hasad tersebut membolehkan penyerang memuat naik fail, melaksanakan arahan shell sewenang-wenangnya dan memuat turun muatan tambahan daripada infrastruktur yang dikawal oleh penyerang.
JINX-0164 telah berulang kali menggunakan semula taktik kejuruteraan sosial yang melibatkan peluang pengambilan pekerja palsu dan mereka-reka masalah teknikal yang memerlukan mangsa memasang pembetulan perisian palsu. Metodologi yang konsisten ini menonjolkan penekanan kuat kumpulan itu terhadap manipulasi manusia sebagai vektor pencerobohan utama.
Kemungkinan Pautan ke Operasi Siber Korea Utara
Beberapa ciri kempen ini menyerupai aktiviti yang sebelum ini dikaitkan dengan kumpulan ancaman siber Korea Utara seperti BlueNoroff, Contagious Interview dan UNC1069. Para penyelidik menyatakan persamaan dalam corak penyasaran, domain palsu dan penggunaan perkhidmatan VPN seperti Astrill VPN.
Walaupun terdapat pertindihan ini, penyiasat belum mengenal pasti sebarang sambungan infrastruktur yang disahkan yang menghubungkan JINX-0164 secara langsung dengan operasi tajaan negara Korea Utara. Bukti semasa menunjukkan persamaan operasi dan bukannya atribusi yang muktamad.
