Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Aktor zagrożenia JINX-0164

Aktor zagrożenia JINX-0164

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Złośliwe oprogramowanie, Mobilne złośliwe oprogramowanie
Przetłumacz na:

Nieudokumentowany wcześniej podmiot atakujący, zidentyfikowany jako JINX-0164, zorganizował wysoce ukierunkowaną kampanię cybernetyczną przeciwko organizacjom kryptowalutowym, wykorzystując socjotechnikę związaną z rekrutacją i autorskie oprogramowanie malware na system macOS do kradzieży zasobów cyfrowych. Działająca co najmniej od połowy 2025 roku, grupa, której motywacją są finanse, w dużej mierze skupiła się na programistach i, w co najmniej jednym potwierdzonym incydencie, dopuściła się naruszenia łańcucha dostaw oprogramowania.

Kampania stanowi zaawansowaną kombinację zwodniczych taktyk rekrutacyjnych, wdrażania złośliwego oprogramowania i głębokiej infiltracji środowisk CI/CD. Włamując się do stacji roboczych pracowników, atakujący z powodzeniem wkroczyli do infrastruktury programistycznej i systemów dystrybucji kodu, znacznie zwiększając zasięg i wpływ ataków.

Oszustwa rekrutacyjne stają się punktem wejścia

JINX-0164 polega na przekonaniu użytkowników LinkedIn do nawiązania kontaktu z wybranymi programistami i pracownikami organizacji związanych z kryptowalutami. Ofiary są zapraszane do udziału w wirtualnych spotkaniach organizowanych na fałszywych domenach, podszywających się pod legalne platformy telekonferencyjne.

Podczas procesu konfiguracji fałszywego spotkania, ofiary otrzymują polecenie pobrania czegoś, co wygląda na klienta spotkania lub poprawkę techniczną. W rzeczywistości pobrany plik inicjuje łańcuch infekcji, pobierając opartego na Pythonie trojana infostealer i trojana zdalnego dostępu do systemu macOS, znanego jako AUDIOFIX, z podrobionej domeny dystrybucji sterowników „apple.driver-store.com”.

Proces infekcji jest wspomagany przez skrypt powłoki bash, który potrafi zidentyfikować architekturę systemu ofiary, umożliwiając złośliwemu oprogramowaniu bezproblemowe działanie zarówno na urządzeniach z systemem macOS opartych na procesorach Intel, jak i Apple Silicon. Ładunek podszywa się pod systemowy sterownik audio o nazwie „coreaudiod”, jest przechowywany lokalnie jako „ChromeUpdater” i uruchamiany za pomocą mechanizmów launchctl systemu macOS w celu zapewnienia trwałości.

AUDIOFIX umożliwia głębokie naruszenie systemu

Po wdrożeniu AUDIOFIX przeprowadza szeroko zakrojone operacje kradzieży danych uwierzytelniających i rozpoznania, a także wspiera boczny ruch w infrastrukturze wewnętrznej. Badacze zaobserwowali, że złośliwe oprogramowanie jest wykorzystywane do wstrzykiwania szkodliwych ładunków do systemów programistycznych i modyfikowania kodu źródłowego w celu naruszenia bezpieczeństwa kolejnych punktów końcowych i przejęcia danych uwierzytelniających portfeli kryptowalut.

Szkodliwe oprogramowanie jest w stanie ukraść szeroką gamę poufnych informacji, w tym:

  • Dane uwierzytelniające menedżera haseł, dane przeglądarki, pliki pęku kluczy iCloud, klucze SSH, dane uwierzytelniające administratora, zapisy historii konsoli i pliki konfiguracyjne
  • Adresy portfeli kryptowalutowych, dane rozszerzeń przeglądarek powiązane z usługami kryptowalutowymi oraz aktywne sesje z Discorda, Slacka i Telegrama

Oprócz kradzieży informacji AUDIOFIX umożliwia również zdalne wykonywanie poleceń, usuwanie plików, dostarczanie ładunków, prowadzenie działań rozpoznawczych i eksfiltrację danych z zainfekowanych systemów.

MiniRAT zwiększa zagrożenie poprzez nadużycia w łańcuchu dostaw

Innym ważnym elementem operacji jest MiniRAT, backdoor oparty na języku Go powiązany z naruszonym pakietem npm o nazwie „@velora-dex/sdk”. Pakiet był powiązany z legalnym zestawem narzędzi do zdecentralizowanych finansów, używanym do wymiany tokenów, handlu delta i zleceń limitowanych na platformie VeloraDEX.

Złośliwa wersja pakietu pobierała skrypt powłoki ze zdalnego serwera, ostatecznie wdrażając plik binarny MiniRAT przeznaczony dla systemu macOS. Po zainstalowaniu złośliwe oprogramowanie umożliwiało atakującym przesyłanie plików, wykonywanie dowolnych poleceń powłoki i pobieranie dodatkowych ładunków z infrastruktury kontrolowanej przez atakującego.

JINX-0164 wielokrotnie wykorzystywał taktyki socjotechniczne, wykorzystując fałszywe oferty rekrutacyjne i tworząc problemy techniczne, które zmuszały ofiary do instalowania fałszywych poprawek oprogramowania. Ta konsekwentna metodologia podkreśla silny nacisk grupy na manipulację ludźmi jako główny wektor włamań.

Możliwe powiązania z północnokoreańskimi operacjami cybernetycznymi

Kilka cech kampanii przypomina działania wcześniej kojarzone z północnokoreańskimi grupami cyberzagrożeń, takimi jak BlueNoroff, Contagious Interview i UNC1069. Badacze zauważyli podobieństwa w schematach ataków, podrabianych domenach oraz korzystaniu z usług VPN, takich jak Astrill VPN.

Pomimo tych zbieżności, śledczy nie zidentyfikowali żadnych potwierdzonych powiązań infrastrukturalnych łączących JINX-0164 bezpośrednio z operacjami sponsorowanymi przez państwo Korei Północnej. Obecne dowody sugerują raczej podobieństwa operacyjne niż jednoznaczne przypisanie sprawcy.

Popularne

Oszustwo e-mailowe dotyczące aktualizacji usługi...

Phishing, Spam
Nieoczekiwane wiadomości e-mail wymagające natychmiastowego działania należy zawsze traktować z ostrożnością. Cyberprzestępcy regularnie maskują kampanie phishingowe pod postacią rutynowych alertów bezpieczeństwa lub powiadomień o usługach, próbując wykraść poufne informacje. Tak zwane wiadomości e-mail z informacją o aktualizacji usługi skrzynki pocztowej (Mailbox Service Upgrade) są częścią...

Najczęściej oglądane

Ładowanie...