Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Actor de amenințare JINX-0164

Actor de amenințare JINX-0164

Până în Mezo în Amenințare persistentă avansată (APT), Programe malware, Malware mobil
Tradu in:

Un actor de amenințare nedocumentat anterior, identificat drept JINX-0164, a orchestrat o campanie cibernetică extrem de țintită împotriva organizațiilor de criptomonede, folosind inginerie socială cu tematică de recrutare și programe malware macOS personalizate pentru a fura active digitale. Activ cel puțin de la mijlocul anului 2025, grupul motivat financiar s-a concentrat în mare măsură pe dezvoltatori și, în cel puțin un incident confirmat, a executat o compromitere a lanțului de aprovizionare software.

Campania demonstrează o combinație avansată de tactici de recrutare înșelătoare, implementare de programe malware și infiltrare profundă în mediile CI/CD. Prin compromiterea stațiilor de lucru ale angajaților, atacatorii au reușit să pătrundă lateral în infrastructura de dezvoltare și în sistemele de distribuție a codului, crescând semnificativ amploarea și impactul intruziunilor.

Escrocheriile de recrutare devin punctul de intrare

JINX-0164 se bazează pe convingerea utilizatorilor de LinkedIn să inițieze contactul cu dezvoltatori și angajați vizați care lucrează în cadrul unor organizații legate de criptomonede. Victimele sunt invitate să participe la întâlniri virtuale găzduite pe domenii frauduloase care se dau drept platforme legitime de teleconferință.

În timpul procesului de configurare a întâlnirii false, țintele sunt instruite să descarce ceea ce pare a fi un client de întâlnire sau o soluție tehnică. În realitate, fișierul descărcat inițiază lanțul de infectare prin recuperarea unui troian de acces la distanță și furt de informații macOS bazat pe Python, cunoscut sub numele de AUDIOFIX, dintr-un domeniu de distribuție de drivere fals, „apple.driver-store.com”.

Procesul de infectare este facilitat printr-un script bash capabil să identifice arhitectura sistemului victimei, permițând malware-ului să funcționeze fără probleme atât pe dispozitivele macOS bazate pe Intel, cât și pe cele Apple Silicon. Sarcina utilă se deghizează într-un driver audio de sistem numit „coreaudiod”, este stocată local ca „ChromeUpdater” și este lansată folosind mecanismele launchctl de la macOS pentru a menține persistența.

AUDIOFIX permite compromiterea profundă a sistemului

Odată implementat, AUDIOFIX efectuează operațiuni extinse de furt de acreditări și recunoaștere, oferind în același timp suport pentru deplasarea laterală în infrastructura internă. Cercetătorii au observat că malware-ul este utilizat pentru a injecta sarcini utile malițioase în sistemele de dezvoltare și pentru a modifica codul sursă, în încercarea de a compromite endpoint-uri suplimentare și de a colecta acreditările portofelului de criptomonede.

Malware-ul este capabil să fure o gamă largă de informații sensibile, inclusiv:

  • Acreditări manager parole, date browser, fișiere portchei iCloud, chei SSH, acreditări administrator, înregistrări istoric consolă și fișiere de configurare
  • Adrese pentru portofelele de criptomonede, date despre extensiile de browser legate de serviciile cripto și sesiuni active de pe Discord, Slack și Telegram

Pe lângă furtul de informații, AUDIOFIX oferă suport și pentru executarea comenzilor la distanță, ștergerea fișierelor, livrarea de date utile, activități de recunoaștere și exfiltrarea datelor din sistemele infectate.

MiniRAT extinde amenințarea prin abuzul lanțului de aprovizionare

O altă componentă majoră a operațiunii este MiniRAT, un backdoor bazat pe Go, legat de un pachet npm compromis numit „@velora-dex/sdk”. Pachetul era asociat cu un set de instrumente financiare descentralizate legitim, utilizat pentru swap-uri de tokenuri, tranzacționare delta și comenzi limită pe platforma VeloraDEX.

Versiunea malițioasă a pachetului a preluat un script shell de pe un server la distanță, implementând în cele din urmă un fișier binar MiniRAT specific macOS. Odată instalat, malware-ul a permis atacatorilor să încarce fișiere, să execute comenzi shell arbitrare și să descarce sarcini suplimentare din infrastructura controlată de atacatori.

JINX-0164 a reutilizat în mod repetat tactici de inginerie socială care implică oportunități de recrutare false și a fabricat probleme tehnice care obligă victimele să instaleze soluții software frauduloase. Această metodologie consecventă evidențiază accentul puternic pus de grup pe manipularea umană ca principal vector de intruziune.

Posibile legături cu operațiunile cibernetice nord-coreene

Mai multe caracteristici ale campaniei seamănă cu activitatea asociată anterior cu grupurile nord-coreene de amenințări cibernetice, cum ar fi BlueNoroff, Contagious Interview și UNC1069. Cercetătorii au observat asemănări în ceea ce privește modelele de direcționare, domeniile falsificate și utilizarea serviciilor VPN precum Astrill VPN.

În ciuda acestor suprapuneri, anchetatorii nu au identificat nicio conexiune confirmată la infrastructură care să lege JINX-0164 direct de operațiunile sponsorizate de statul nord-coreean. Dovezile actuale sugerează mai degrabă asemănări operaționale decât o atribuire definitivă.

Trending

Înșelătorie prin e-mail privind actualizarea...

phishing, Spam
E-mailurile neașteptate care necesită acțiuni imediate ar trebui tratate întotdeauna cu prudență. Infractorii cibernetici deghizează în mod regulat campaniile de phishing drept alerte de securitate de rutină sau notificări de serviciu, în încercarea de a fura informații sensibile. Așa-numitele e-mailuri de tip „Upgrade al serviciului de cutie poștală” fac parte dintr-o astfel de escrocherie și...

Cele mai văzute

Se încarcă...