Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) JINX-0164 Hotaktör

JINX-0164 Hotaktör

Med Mezo år Advanced Persistent Threat (APT), Skadlig programvara, Mobil skadlig programvara
Översätt till:

En tidigare odokumenterad hotaktör identifierad som JINX-0164 har orkestrerat en mycket riktad cyberkampanj mot kryptovalutaorganisationer, med hjälp av rekryteringstema social manipulation och specialbyggd macOS-skadlig kod för att stjäla digitala tillgångar. Den ekonomiskt motiverade gruppen, som varit aktiv sedan åtminstone mitten av 2025, har fokuserat starkt på utvecklare och, i minst en bekräftad incident, genomfört en kompromiss i mjukvaruleveranskedjan.

Kampanjen visar på en avancerad kombination av vilseledande rekryteringstaktik, distribution av skadlig kod och djup infiltration av CI/CD-miljöer. Genom att kompromettera anställdas arbetsstationer lyckades angriparna ta sig in i utvecklingsinfrastruktur och koddistributionssystem, vilket avsevärt ökade omfattningen och effekten av intrången.

Rekryteringsbedrägerier blir ingångspunkten

JINX-0164 förlitar sig på att övertyga LinkedIn-personas att initiera kontakt med utvalda utvecklare och anställda som arbetar inom kryptovalutarelaterade organisationer. Offren uppmanas att delta i virtuella möten som hålls på bedrägliga domäner och utger sig för att vara legitima telekonferensplattformar.

Under den falska mötesinstallationsprocessen instrueras målen att ladda ner vad som verkar vara en mötesklient eller teknisk fix. I verkligheten initierar den nedladdade filen infektionskedjan genom att hämta en Python-baserad macOS-infostjälare och fjärråtkomsttrojan som kallas AUDIOFIX från en förfalskad drivrutinsdistributionsdomän, 'apple.driver-store.com'.

Infektionsprocessen underlättas genom ett bash-skript som kan identifiera offrets systemarkitektur, vilket gör att skadlig programvara kan fungera sömlöst på både Intel-baserade och Apple Silicon macOS-enheter. Nyttolasten förklär sig som en systemljuddrivrutin med namnet "coreaudiod", lagras lokalt som "ChromeUpdater" och startas med hjälp av macOS launchctl-mekanismer för att bibehålla beständigheten.

AUDIOFIX möjliggör djupgående systemkompromiss

När AUDIOFIX väl är driftsatt utför den omfattande stöld av autentiseringsuppgifter och rekognoseringsoperationer samtidigt som den stöder lateral förflyttning till intern infrastruktur. Forskare observerade hur skadlig kod användes för att injicera skadliga nyttolaster i utvecklingssystem och modifiera källkod i försök att kompromettera ytterligare slutpunkter och stjäla autentiseringsuppgifter för kryptovalutaplånböcker.

Skadlig programvara kan stjäla ett brett spektrum av känslig information, inklusive:

  • Inloggningsuppgifter för lösenordshanterare, webbläsardata, iCloud-nyckelringsfiler, SSH-nycklar, administratörsuppgifter, konsolhistorikposter och konfigurationsfiler
  • Adresser till kryptovalutaplånböcker, webbläsartilläggsdata länkade till kryptotjänster och aktiva sessioner från Discord, Slack och Telegram

Utöver informationsstöld stöder AUDIOFIX även fjärrkörning av kommandon, filradering, leverans av nyttolast, rekognoseringsaktiviteter och dataexfiltrering från infekterade system.

MiniRAT utökar hotet genom missbruk av leveranskedjan

En annan viktig del av operationen är MiniRAT, en Go-baserad bakdörr kopplad till ett komprometterat npm-paket med namnet '@velora-dex/sdk'. Paketet var associerat med en legitim decentraliserad finansverktygslåda som används för token-swappar, deltahandel och limitorder på VeloraDEX-plattformen.

Den skadliga versionen av paketet hämtade ett shell-skript från en fjärrserver och distribuerade slutligen en macOS-specifik MiniRAT-binärfil. När den skadliga programvaran installerades kunde angripare ladda upp filer, köra godtyckliga shell-kommandon och ladda ner ytterligare nyttolaster från angriparkontrollerad infrastruktur.

JINX-0164 har upprepade gånger återanvänt social ingenjörskonst som involverar falska rekryteringsmöjligheter och fabricerade tekniska problem som kräver att offren installerar bedrägliga programvarukorrigeringar. Denna konsekventa metod belyser gruppens starka betoning på mänsklig manipulation som en primär intrångsvektor.

Möjliga kopplingar till nordkoreanska cyberoperationer

Flera kännetecken för kampanjen liknar aktivitet som tidigare förknippats med nordkoreanska cyberhotsgrupper som BlueNoroff, Contagious Interview och UNC1069. Forskarna noterade likheter i målinriktningsmönster, förfalskade domäner och användningen av VPN-tjänster som Astrill VPN.

Trots dessa överlappningar har utredarna inte identifierat några bekräftade infrastrukturkopplingar som direkt kopplar JINX-0164 till nordkoreanska statssponsrade operationer. Nuvarande bevis tyder på operativa likheter snarare än definitiv tillskrivning.

Trendigt

E-postbedrägeri om uppgradering av postlådetjänst

Nätfiske, Spam
Oväntade e-postmeddelanden som kräver omedelbara åtgärder bör alltid behandlas med försiktighet. Cyberbrottslingar döljer regelbundet nätfiskekampanjer som rutinmässiga säkerhetsvarningar eller servicemeddelanden i ett försök att stjäla känslig information. De så kallade e-postmeddelandena med "Mailbox Service Upgrade" är en del av ett sådant bedrägeri och är inte kopplade till någon legitim...

Mest sedda

Läser in...