Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) JINX-0164 Threat Actor

JINX-0164 Threat Actor

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Malware, Malware celular
Përkthe në:

Një aktor kërcënimi i padokumentuar më parë, i identifikuar si JINX-0164, ka orkestruar një fushatë kibernetike shumë të synuar kundër organizatave të kriptomonedhave, duke përdorur inxhinieri sociale me temë rekrutimi dhe malware macOS të krijuar me porosi për të vjedhur asete dixhitale. Aktiv që nga mesi i vitit 2025, grupi i motivuar financiarisht është përqendruar shumë te zhvilluesit dhe, në të paktën një incident të konfirmuar, ka ekzekutuar një kompromentim të zinxhirit të furnizimit të softuerëve.

Fushata demonstron një kombinim të avancuar të taktikave mashtruese të rekrutimit, vendosjes së programeve keqdashëse dhe infiltrimit të thellë të mjediseve CI/CD. Duke kompromentuar stacionet e punës të punonjësve, sulmuesit u zhvendosën me sukses në infrastrukturën e zhvillimit dhe sistemet e shpërndarjes së kodit, duke rritur ndjeshëm fushëveprimin dhe ndikimin e ndërhyrjeve.

Mashtrimet e rekrutimit bëhen pika hyrëse

JINX-0164 mbështetet në bindjen e personazheve të LinkedIn për të filluar kontaktin me zhvilluesit dhe punonjësit e synuar që punojnë brenda organizatave të lidhura me kriptovalutat. Viktimat ftohen të marrin pjesë në takime virtuale të organizuara në domene mashtruese që imitojnë platformat legjitime të telekonferencave.

Gjatë procesit të konfigurimit të takimit të rremë, objektivave u jepet udhëzim për të shkarkuar atë që duket të jetë një klient takimi ose një rregullim teknik. Në realitet, skedari i shkarkuar fillon zinxhirin e infeksionit duke rikuperuar një macOS infostealer dhe trojan me akses të largët të bazuar në Python të njohur si AUDIOFIX nga një domen i falsifikuar i shpërndarjes së drajverëve, 'apple.driver-store.com'.

Procesi i infektimit lehtësohet përmes një skripti bash të aftë të identifikojë arkitekturën e sistemit të viktimës, duke lejuar që malware të funksionojë pa probleme si në pajisjet macOS me bazë Intel ashtu edhe në ato Apple Silicon. Ngarkesa maskohet si një drajver audio sistemi i quajtur 'coreaudiod', ruhet lokalisht si 'ChromeUpdater' dhe niset duke përdorur mekanizmat macOS launchctl për të ruajtur qëndrueshmërinë.

AUDIOFIX mundëson kompromentimin e thellë të sistemit

Pasi të vendoset, AUDIOFIX kryen operacione të gjera të vjedhjes së kredencialeve dhe zbulimit, ndërkohë që mbështet edhe lëvizjen anësore në infrastrukturën e brendshme. Studiuesit vunë re se malware-i përdorej për të injektuar ngarkesa të dëmshme në sistemet e zhvillimit dhe për të modifikuar kodin burimor në përpjekje për të kompromentuar pikat shtesë fundore dhe për të mbledhur kredencialet e portofolit të kriptomonedhave.

Malware është i aftë të vjedhë një gamë të gjerë informacionesh të ndjeshme, duke përfshirë:

  • Kredencialet e menaxherit të fjalëkalimeve, të dhënat e shfletuesit, skedarët iCloud Keychain, çelësat SSH, kredencialet e administratorit, të dhënat e historikut të konsolës dhe skedarët e konfigurimit
  • Adresat e portofoleve të kriptomonedhave, të dhënat e zgjerimeve të shfletuesit të lidhura me shërbimet e kriptomonedhave dhe seancat aktive nga Discord, Slack dhe Telegram

Përtej vjedhjes së informacionit, AUDIOFIX mbështet gjithashtu ekzekutimin e komandave në distancë, fshirjen e skedarëve, shpërndarjen e ngarkesës, aktivitetet e zbulimit dhe nxjerrjen e të dhënave nga sistemet e infektuara.

MiniRAT zgjeron kërcënimin përmes abuzimit me zinxhirin e furnizimit

Një tjetër komponent i rëndësishëm i operacionit është MiniRAT, një derë e pasme e bazuar në Go e lidhur me një paketë npm të kompromentuar të quajtur '@velora-dex/sdk'. Paketa ishte e lidhur me një set mjetesh legjitime të decentralizuara financiare të përdorura për shkëmbime tokenësh, tregtim deltash dhe urdhra limit në platformën VeloraDEX.

Versioni keqdashës i paketës mori një skript shell nga një server i largët, duke vendosur në fund një skedar binar MiniRAT specifik për macOS. Pasi u instalua, programi keqdashës u mundësoi sulmuesve të ngarkonin skedarë, të ekzekutonin komanda arbitrare të shell dhe të shkarkonin ngarkesa shtesë nga infrastruktura e kontrolluar nga sulmuesi.

JINX-0164 ka ripërdorur në mënyrë të përsëritur taktikat e inxhinierisë sociale që përfshijnë mundësi të rreme rekrutimi dhe ka sajuar probleme teknike që u kërkojnë viktimave të instalojnë rregullime mashtruese të softuerëve. Kjo metodologji e qëndrueshme nxjerr në pah theksin e fortë të grupit në manipulimin njerëzor si një vektor kryesor ndërhyrjeje.

Lidhje të mundshme me operacionet kibernetike të Koresë së Veriut

Disa karakteristika të fushatës ngjajnë me aktivitetin e lidhur më parë me grupet e kërcënimeve kibernetike të Koresë së Veriut, të tilla si BlueNoroff, Contagious Interview dhe UNC1069. Studiuesit vunë re ngjashmëri në modelet e shënjestrimit, domenet e falsifikuara dhe përdorimin e shërbimeve VPN, të tilla si Astrill VPN.

Pavarësisht këtyre mbivendosjeve, hetuesit nuk kanë identifikuar ndonjë lidhje të konfirmuar infrastrukturore që lidh JINX-0164 drejtpërdrejt me operacionet e sponsorizuara nga shteti i Koresë së Veriut. Provat aktuale sugjerojnë ngjashmëri operacionale në vend të një atribuimi përfundimtar.

Në trend

Mashtrim me email për përmirësimin e shërbimit të...

Fishing, Spam
Emailet e papritura që kërkojnë veprim të menjëhershëm duhet të trajtohen gjithmonë me kujdes. Kriminelët kibernetikë i maskojnë rregullisht fushatat e phishing-ut si alarme rutinë sigurie ose njoftime shërbimi në një përpjekje për të vjedhur informacione të ndjeshme. Emailet e ashtuquajtura 'Përmirësimi i Shërbimit të Kutisë Postare' janë pjesë e një mashtrimi të tillë dhe nuk janë të lidhura...

Më e shikuara

Po ngarkohet...