JINX-0164 — Угрожающий субъект
Ранее неизвестная группа киберпреступников, известная как JINX-0164, организовала целенаправленную киберкампанию против криптовалютных организаций, используя методы социальной инженерии, направленные на привлечение новых участников, и специально разработанное вредоносное ПО для macOS для кражи цифровых активов. Активная как минимум с середины 2025 года, эта группа, преследующая финансовые цели, в значительной степени сосредоточилась на разработчиках и, по меньшей мере, в одном подтвержденном инциденте осуществила компрометацию цепочки поставок программного обеспечения.
В ходе кампании была продемонстрирована сложная комбинация обманных методов вербовки, развертывания вредоносного ПО и глубокого проникновения в среды CI/CD. Взломав рабочие станции сотрудников, злоумышленники успешно проникли в инфраструктуру разработки и системы распространения кода, значительно расширив масштабы и последствия вторжений.
Оглавление
Мошеннические схемы найма становятся точкой входа.
Мошенническая схема JINX-0164 использует методы убеждения пользователей LinkedIn инициировать контакты с целевыми разработчиками и сотрудниками организаций, связанных с криптовалютами. Жертвам предлагается участвовать в виртуальных встречах, проводимых на мошеннических доменах, имитирующих легитимные платформы для видеоконференций.
В процессе создания фиктивной конфигурации для проведения совещания жертвам предлагается загрузить файл, который выглядит как клиент для проведения совещания или техническое исправление. В действительности же загруженный файл запускает цепочку заражения, получая троянскую программу для кражи информации в macOS на основе Python и удаленного доступа, известную как AUDIOFIX, с поддельного домена распространения драйверов, 'apple.driver-store.com'.
Процесс заражения осуществляется с помощью bash-скрипта, способного определять архитектуру системы жертвы, что позволяет вредоносной программе беспрепятственно работать как на устройствах macOS с процессорами Intel, так и на устройствах Apple Silicon. Полезная нагрузка маскируется под системный аудиодрайвер под названием «coreaudiod», хранится локально как «ChromeUpdater» и запускается с помощью механизма launchctl в macOS для обеспечения постоянного присутствия в системе.
AUDIOFIX позволяет осуществлять глубокую компрометацию системы.
После развертывания AUDIOFIX выполняет масштабные операции по краже учетных данных и разведке, а также поддерживает горизонтальное проникновение во внутреннюю инфраструктуру. Исследователи наблюдали, как вредоносное ПО использовалось для внедрения вредоносных программ в системы разработки и модификации исходного кода в попытках скомпрометировать дополнительные конечные точки и получить учетные данные криптовалютных кошельков.
Вредоносная программа способна украсть широкий спектр конфиденциальной информации, включая:
- Учетные данные менеджера паролей, данные браузера, файлы связки ключей iCloud, ключи SSH, учетные данные администратора, записи истории консоли и файлы конфигурации.
- Адреса криптокошельков, данные расширений браузера, связанных с криптосервисами, и активные сессии в Discord, Slack и Telegram.
Помимо кражи информации, AUDIOFIX также поддерживает удаленное выполнение команд, удаление файлов, доставку полезной нагрузки, разведывательные действия и утечку данных из зараженных систем.
MiniRAT расширяет угрозу за счет злоупотреблений в цепочке поставок.
Еще одним важным компонентом операции является MiniRAT, бэкдор на языке Go, связанный со скомпрометированным пакетом npm под названием '@velora-dex/sdk'. Этот пакет был связан с легитимным инструментом децентрализованных финансов, используемым для обмена токенов, дельта-трейдинга и лимитных ордеров на платформе VeloraDEX.
Вредоносная версия пакета получила скрипт оболочки с удаленного сервера, в конечном итоге развернув бинарный файл MiniRAT, специфичный для macOS. После установки вредоносное ПО позволило злоумышленникам загружать файлы, выполнять произвольные команды оболочки и загружать дополнительные полезные нагрузки с контролируемой злоумышленниками инфраструктуры.
Группа JINX-0164 неоднократно использовала методы социальной инженерии, включая фальшивые предложения о вербовке и сфабрикованные технические проблемы, требующие от жертв установки мошеннических программных исправлений. Эта последовательная методология подчеркивает сильный акцент группы на манипулировании людьми как основном векторе вторжения.
Возможные связи с кибер-операциями Северной Кореи
Некоторые характеристики этой кампании напоминают деятельность, ранее связанную с северокорейскими кибертеррористическими группами, такими как BlueNoroff, Contagious Interview и UNC1069. Исследователи отметили сходство в схемах нацеливания, поддельных доменах и использовании VPN-сервисов, таких как Astrill VPN.
Несмотря на эти совпадения, следователи не выявили каких-либо подтвержденных инфраструктурных связей, напрямую связывающих JINX-0164 с операциями, спонсируемыми северокорейским государством. Имеющиеся данные указывают скорее на оперативное сходство, чем на окончательное установление связи.
