JINX-0164 ਧਮਕੀ ਅਦਾਕਾਰ
JINX-0164 ਵਜੋਂ ਪਛਾਣੇ ਗਏ ਇੱਕ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਧਮਕੀ ਐਕਟਰ ਨੇ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਸੰਗਠਨਾਂ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਬਹੁਤ ਹੀ ਨਿਸ਼ਾਨਾਬੱਧ ਸਾਈਬਰ ਮੁਹਿੰਮ ਚਲਾਈ ਹੈ, ਜਿਸ ਵਿੱਚ ਡਿਜੀਟਲ ਸੰਪਤੀਆਂ ਚੋਰੀ ਕਰਨ ਲਈ ਭਰਤੀ-ਥੀਮ ਵਾਲੇ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਕਸਟਮ-ਬਿਲਟ ਮੈਕੋਸ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਘੱਟੋ-ਘੱਟ 2025 ਦੇ ਮੱਧ ਤੋਂ ਸਰਗਰਮ, ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਸਮੂਹ ਨੇ ਡਿਵੈਲਪਰਾਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ ਹੈ ਅਤੇ, ਘੱਟੋ-ਘੱਟ ਇੱਕ ਪੁਸ਼ਟੀ ਕੀਤੀ ਘਟਨਾ ਵਿੱਚ, ਇੱਕ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਸਮਝੌਤਾ ਕੀਤਾ ਹੈ।
ਇਹ ਮੁਹਿੰਮ ਧੋਖੇਬਾਜ਼ ਭਰਤੀ ਰਣਨੀਤੀਆਂ, ਮਾਲਵੇਅਰ ਤੈਨਾਤੀ, ਅਤੇ CI/CD ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਡੂੰਘੀ ਘੁਸਪੈਠ ਦੇ ਇੱਕ ਉੱਨਤ ਸੁਮੇਲ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਕਰਮਚਾਰੀ ਵਰਕਸਟੇਸ਼ਨਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਕੇ, ਹਮਲਾਵਰ ਸਫਲਤਾਪੂਰਵਕ ਵਿਕਾਸ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਕੋਡ ਵੰਡ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਪਾਸੇ ਵੱਲ ਚਲੇ ਗਏ, ਜਿਸ ਨਾਲ ਘੁਸਪੈਠ ਦੇ ਦਾਇਰੇ ਅਤੇ ਪ੍ਰਭਾਵ ਵਿੱਚ ਕਾਫ਼ੀ ਵਾਧਾ ਹੋਇਆ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਭਰਤੀ ਘੁਟਾਲੇ ਪ੍ਰਵੇਸ਼ ਬਿੰਦੂ ਬਣ ਗਏ ਹਨ
JINX-0164 ਲਿੰਕਡਇਨ ਵਿਅਕਤੀਆਂ ਨੂੰ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਨਾਲ ਸਬੰਧਤ ਸੰਗਠਨਾਂ ਦੇ ਅੰਦਰ ਕੰਮ ਕਰਨ ਵਾਲੇ ਨਿਸ਼ਾਨਾ ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਕਰਮਚਾਰੀਆਂ ਨਾਲ ਸੰਪਰਕ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਮਨਾਉਣ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਪੀੜਤਾਂ ਨੂੰ ਜਾਇਜ਼ ਟੈਲੀਕਾਨਫਰੰਸਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਨਕਲ ਕਰਨ ਵਾਲੇ ਧੋਖਾਧੜੀ ਵਾਲੇ ਡੋਮੇਨਾਂ 'ਤੇ ਆਯੋਜਿਤ ਵਰਚੁਅਲ ਮੀਟਿੰਗਾਂ ਵਿੱਚ ਹਿੱਸਾ ਲੈਣ ਲਈ ਸੱਦਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।
ਨਕਲੀ ਮੀਟਿੰਗ ਸੈੱਟਅੱਪ ਪ੍ਰਕਿਰਿਆ ਦੌਰਾਨ, ਟਾਰਗੇਟਾਂ ਨੂੰ ਉਹ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ ਜੋ ਮੀਟਿੰਗ ਕਲਾਇੰਟ ਜਾਂ ਤਕਨੀਕੀ ਫਿਕਸ ਜਾਪਦਾ ਹੈ। ਅਸਲ ਵਿੱਚ, ਡਾਊਨਲੋਡ ਕੀਤੀ ਫਾਈਲ ਇੱਕ ਸਪੂਫਡ ਡਰਾਈਵਰ ਡਿਸਟ੍ਰੀਬਿਊਸ਼ਨ ਡੋਮੇਨ, 'apple.driver-store.com' ਤੋਂ AUDIOFIX ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਪਾਈਥਨ-ਅਧਾਰਤ macOS ਇਨਫੋਸਟੀਲਰ ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਕੇ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ।
ਇਨਫੈਕਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਇੱਕ ਬੈਸ਼ ਸਕ੍ਰਿਪਟ ਦੁਆਰਾ ਸੁਵਿਧਾਜਨਕ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ ਜੋ ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਆਰਕੀਟੈਕਚਰ ਦੀ ਪਛਾਣ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ, ਜਿਸ ਨਾਲ ਮਾਲਵੇਅਰ ਇੰਟੇਲ-ਅਧਾਰਿਤ ਅਤੇ ਐਪਲ ਸਿਲੀਕਾਨ ਮੈਕੋਸ ਡਿਵਾਈਸਾਂ ਦੋਵਾਂ 'ਤੇ ਸਹਿਜੇ ਹੀ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ। ਪੇਲੋਡ ਆਪਣੇ ਆਪ ਨੂੰ 'coreaudiod' ਨਾਮਕ ਇੱਕ ਸਿਸਟਮ ਆਡੀਓ ਡਰਾਈਵਰ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਦਿੰਦਾ ਹੈ, ਜਿਸਨੂੰ ਸਥਾਨਕ ਤੌਰ 'ਤੇ 'ChromeUpdater' ਵਜੋਂ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਣ ਲਈ macOS launchctl ਵਿਧੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਲਾਂਚ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
AUDIOFIX ਡੂੰਘੀ ਸਿਸਟਮ ਸਮਝੌਤਾ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ
ਇੱਕ ਵਾਰ ਤਾਇਨਾਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, AUDIOFIX ਵਿਆਪਕ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਅਤੇ ਖੋਜ ਕਾਰਜ ਕਰਦਾ ਹੈ ਜਦੋਂ ਕਿ ਅੰਦਰੂਨੀ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਪਾਸੇ ਦੀ ਗਤੀ ਦਾ ਸਮਰਥਨ ਵੀ ਕਰਦਾ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੇਖਿਆ ਕਿ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਵਿਕਾਸ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਖਤਰਨਾਕ ਪੇਲੋਡ ਲਗਾਉਣ ਅਤੇ ਵਾਧੂ ਅੰਤਮ ਬਿੰਦੂਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਅਤੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲਿਟ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਵਿੱਚ ਸਰੋਤ ਕੋਡ ਨੂੰ ਸੋਧਣ ਲਈ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ।
ਇਹ ਮਾਲਵੇਅਰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਚੋਰੀ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਪਾਸਵਰਡ ਮੈਨੇਜਰ ਕ੍ਰੇਡੇੰਸ਼ਿਅਲ, ਬ੍ਰਾਊਜ਼ਰ ਡੇਟਾ, iCloud ਕੀਚੇਨ ਫਾਈਲਾਂ, SSH ਕੁੰਜੀਆਂ, ਪ੍ਰਬੰਧਕ ਕ੍ਰੇਡੇੰਸ਼ਿਅਲ, ਕੰਸੋਲ ਇਤਿਹਾਸ ਰਿਕਾਰਡ, ਅਤੇ ਕੌਂਫਿਗਰੇਸ਼ਨ ਫਾਈਲਾਂ
- ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਵਾਲੇਟ ਪਤੇ, ਕ੍ਰਿਪਟੋ ਸੇਵਾਵਾਂ ਨਾਲ ਜੁੜਿਆ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨ ਡੇਟਾ, ਅਤੇ ਡਿਸਕਾਰਡ, ਸਲੈਕ ਅਤੇ ਟੈਲੀਗ੍ਰਾਮ ਤੋਂ ਸਰਗਰਮ ਸੈਸ਼ਨ
ਜਾਣਕਾਰੀ ਚੋਰੀ ਤੋਂ ਇਲਾਵਾ, AUDIOFIX ਰਿਮੋਟ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਫਾਈਲ ਡਿਲੀਟੇਸ਼ਨ, ਪੇਲੋਡ ਡਿਲੀਵਰੀ, ਰਿਕੋਨੀਸੈਂਸ ਗਤੀਵਿਧੀਆਂ, ਅਤੇ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ ਤੋਂ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਦਾ ਵੀ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।
MiniRAT ਸਪਲਾਈ ਚੇਨ ਦੁਰਵਰਤੋਂ ਰਾਹੀਂ ਖ਼ਤਰੇ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ
ਇਸ ਕਾਰਵਾਈ ਦਾ ਇੱਕ ਹੋਰ ਮੁੱਖ ਹਿੱਸਾ MiniRAT ਹੈ, ਜੋ ਕਿ ਇੱਕ Go-ਅਧਾਰਤ ਬੈਕਡੋਰ ਹੈ ਜੋ '@velora-dex/sdk' ਨਾਮਕ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ npm ਪੈਕੇਜ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਇਹ ਪੈਕੇਜ ਇੱਕ ਜਾਇਜ਼ ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਵਿੱਤ ਟੂਲਕਿੱਟ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ ਜੋ VeloraDEX ਪਲੇਟਫਾਰਮ 'ਤੇ ਟੋਕਨ ਸਵੈਪ, ਡੈਲਟਾ ਵਪਾਰ ਅਤੇ ਸੀਮਾ ਆਰਡਰ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਸੀ।
ਪੈਕੇਜ ਦੇ ਖਤਰਨਾਕ ਸੰਸਕਰਣ ਨੇ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਇੱਕ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਪ੍ਰਾਪਤ ਕੀਤੀ, ਅੰਤ ਵਿੱਚ ਇੱਕ macOS-ਵਿਸ਼ੇਸ਼ MiniRAT ਬਾਈਨਰੀ ਤੈਨਾਤ ਕੀਤੀ। ਇੱਕ ਵਾਰ ਇੰਸਟਾਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਨੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਫਾਈਲਾਂ ਅਪਲੋਡ ਕਰਨ, ਮਨਮਾਨੇ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਅਤੇ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੋਂ ਵਾਧੂ ਪੇਲੋਡ ਡਾਊਨਲੋਡ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ।
JINX-0164 ਨੇ ਵਾਰ-ਵਾਰ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਰਣਨੀਤੀਆਂ ਦੀ ਮੁੜ ਵਰਤੋਂ ਕੀਤੀ ਹੈ ਜਿਸ ਵਿੱਚ ਨਕਲੀ ਭਰਤੀ ਦੇ ਮੌਕੇ ਅਤੇ ਮਨਘੜਤ ਤਕਨੀਕੀ ਸਮੱਸਿਆਵਾਂ ਸ਼ਾਮਲ ਹਨ ਜਿਨ੍ਹਾਂ ਲਈ ਪੀੜਤਾਂ ਨੂੰ ਧੋਖਾਧੜੀ ਵਾਲੇ ਸੌਫਟਵੇਅਰ ਫਿਕਸ ਸਥਾਪਤ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਇਹ ਇਕਸਾਰ ਵਿਧੀ ਇੱਕ ਪ੍ਰਾਇਮਰੀ ਘੁਸਪੈਠ ਵੈਕਟਰ ਵਜੋਂ ਮਨੁੱਖੀ ਹੇਰਾਫੇਰੀ 'ਤੇ ਸਮੂਹ ਦੇ ਜ਼ੋਰਦਾਰ ਜ਼ੋਰ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।
ਉੱਤਰੀ ਕੋਰੀਆਈ ਸਾਈਬਰ ਓਪਰੇਸ਼ਨਾਂ ਨਾਲ ਸੰਭਾਵੀ ਲਿੰਕ
ਇਸ ਮੁਹਿੰਮ ਦੀਆਂ ਕਈ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਪਹਿਲਾਂ ਉੱਤਰੀ ਕੋਰੀਆਈ ਸਾਈਬਰ ਧਮਕੀ ਸਮੂਹਾਂ ਜਿਵੇਂ ਕਿ ਬਲੂਨੋਰੋਫ, ਕੰਟੈਜੀਅਸ ਇੰਟਰਵਿਊ, ਅਤੇ UNC1069 ਨਾਲ ਜੁੜੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨਾਲ ਮਿਲਦੀਆਂ-ਜੁਲਦੀਆਂ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਪੈਟਰਨਾਂ, ਸਪੂਫਡ ਡੋਮੇਨਾਂ, ਅਤੇ ਐਸਟ੍ਰਿਲ VPN ਵਰਗੀਆਂ VPN ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਵਿੱਚ ਸਮਾਨਤਾਵਾਂ ਨੋਟ ਕੀਤੀਆਂ।
ਇਹਨਾਂ ਓਵਰਲੈਪਾਂ ਦੇ ਬਾਵਜੂਦ, ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ JINX-0164 ਨੂੰ ਸਿੱਧੇ ਉੱਤਰੀ ਕੋਰੀਆਈ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਕਾਰਜਾਂ ਨਾਲ ਜੋੜਨ ਵਾਲੇ ਕਿਸੇ ਵੀ ਪੁਸ਼ਟੀ ਕੀਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਸਬੰਧਾਂ ਦੀ ਪਛਾਣ ਨਹੀਂ ਕੀਤੀ ਹੈ। ਮੌਜੂਦਾ ਸਬੂਤ ਨਿਸ਼ਚਿਤ ਵਿਸ਼ੇਸ਼ਤਾ ਦੀ ਬਜਾਏ ਕਾਰਜਸ਼ੀਲ ਸਮਾਨਤਾਵਾਂ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ।
