Rabatttilbud for flere lisenser
Trusseldatabase Advanced Persistent Threat (APT) JINX-0164 Trusselaktør

JINX-0164 Trusselaktør

Med Mezo i Advanced Persistent Threat (APT), Skadelig programvare, Mobil skadelig programvare
Oversett til:

En tidligere udokumentert trusselaktør identifisert som JINX-0164 har orkestrert en svært målrettet cyberkampanje mot kryptovalutaorganisasjoner, ved å bruke rekrutteringsbasert sosial manipulering og spesialbygd macOS-skadevare for å stjele digitale eiendeler. Den økonomisk motiverte gruppen, som har vært aktiv siden minst midten av 2025, har fokusert sterkt på utviklere, og i minst én bekreftet hendelse har de utført et kompromiss i programvareforsyningskjeden.

Kampanjen demonstrerer en avansert kombinasjon av villedende rekrutteringstaktikker, utrulling av skadelig programvare og dyp infiltrasjon av CI/CD-miljøer. Ved å kompromittere ansattes arbeidsstasjoner klarte angriperne å bevege seg lateralt inn i utviklingsinfrastruktur og kodedistribusjonssystemer, noe som økte omfanget og virkningen av inntrengingene betydelig.

Rekrutteringssvindel blir inngangspunktet

JINX-0164 er avhengig av å overbevise LinkedIn-personaer om å ta kontakt med målrettede utviklere og ansatte som jobber i kryptovalutrelaterte organisasjoner. Ofrene inviteres til å delta i virtuelle møter som arrangeres på falske domener og utgir seg for å være legitime telekonferanseplattformer.

Under oppsettprosessen for falske møter blir målene bedt om å laste ned det som ser ut til å være en møteklient eller teknisk løsning. I virkeligheten starter den nedlastede filen infeksjonskjeden ved å hente en Python-basert macOS-infostealer og fjerntilgangstrojaner kjent som AUDIOFIX fra et forfalsket driverdistribusjonsdomene, «apple.driver-store.com».

Infeksjonsprosessen forenkles gjennom et bash-skript som er i stand til å identifisere offerets systemarkitektur, slik at skadevaren kan operere sømløst på både Intel-baserte og Apple Silicon macOS-enheter. Nyttelasten forkleder seg som en systemlyddriver kalt «coreaudiod», lagres lokalt som «ChromeUpdater» og startes ved hjelp av macOS launchctl-mekanismer for å opprettholde varighet.

AUDIOFIX muliggjør dyp systemkompromiss

Når den er distribuert, utfører AUDIOFIX omfattende operasjoner for å stjele legitimasjon og rekognosere, samtidig som den støtter lateral bevegelse inn i intern infrastruktur. Forskere observerte at skadevaren ble brukt til å injisere ondsinnede nyttelaster i utviklingssystemer og endre kildekode i forsøk på å kompromittere ytterligere endepunkter og høste legitimasjon for kryptovalutalommebøker.

Skadevaren er i stand til å stjele et bredt spekter av sensitiv informasjon, inkludert:

  • Passordbehandlingslegitimasjon, nettleserdata, iCloud-nøkkelringfiler, SSH-nøkler, administratorlegitimasjon, konsollhistorikk og konfigurasjonsfiler
  • Adresser til kryptovalutalommebøker, nettleserutvidelsesdata knyttet til kryptotjenester og aktive økter fra Discord, Slack og Telegram

Utover informasjonstyveri støtter AUDIOFIX også fjernutførelse av kommandoer, filsletting, levering av nyttelast, rekognoseringsaktiviteter og datautrensing fra infiserte systemer.

MiniRAT utvider trusselen gjennom misbruk av forsyningskjeden

En annen viktig komponent i operasjonen er MiniRAT, en Go-basert bakdør knyttet til en kompromittert npm-pakke kalt «@velora-dex/sdk». Pakken var tilknyttet et legitimt desentralisert finansverktøysett som brukes til token-bytter, deltahandel og limitordre på VeloraDEX-plattformen.

Den skadelige versjonen av pakken hentet et skallskript fra en ekstern server, og distribuerte til slutt en macOS-spesifikk MiniRAT-binærfil. Etter installasjonen gjorde skadevaren det mulig for angripere å laste opp filer, utføre vilkårlige skallkommandoer og laste ned ytterligere nyttelaster fra angriperkontrollert infrastruktur.

JINX-0164 har gjentatte ganger gjenbrukt sosial manipulasjon som involverer falske rekrutteringsmuligheter og fabrikkerte tekniske problemer som krever at ofrene installerer falske programvarerettinger. Denne konsistente metodikken fremhever gruppens sterke vekt på menneskelig manipulasjon som en primær inntrengingsvektor.

Mulige koblinger til nordkoreanske cyberoperasjoner

Flere kjennetegn ved kampanjen ligner aktivitet som tidligere har vært assosiert med nordkoreanske cybertrusselgrupper som BlueNoroff, Contagious Interview og UNC1069. Forskere bemerket likheter i målrettingsmønstre, forfalskede domener og bruk av VPN-tjenester som Astrill VPN.

Til tross for disse overlappingene har ikke etterforskerne identifisert noen bekreftede infrastrukturforbindelser som knytter JINX-0164 direkte til nordkoreanske statsstøttede operasjoner. Nåværende bevis tyder på operative likheter snarere enn definitiv tilskrivelse.

Trender

Mest sett

Laster inn...