ஜின்க்ஸ்-0164 அச்சுறுத்தல் காரணி
JINX-0164 என அடையாளம் காணப்பட்ட, இதற்கு முன் ஆவணப்படுத்தப்படாத ஒரு அச்சுறுத்தல் குழு, கிரிப்டோகரன்சி நிறுவனங்களுக்கு எதிராக மிகவும் இலக்கு வைக்கப்பட்ட இணையவழித் தாக்குதலை அரங்கேற்றியுள்ளது. இது, டிஜிட்டல் சொத்துக்களைத் திருடுவதற்காக, ஆள்சேர்ப்பு சார்ந்த சமூகப் பொறியியல் மற்றும் பிரத்யேகமாக உருவாக்கப்பட்ட macOS தீம்பொருளைப் பயன்படுத்துகிறது. குறைந்தபட்சம் 2025-ஆம் ஆண்டின் நடுப்பகுதியில் இருந்து செயல்பட்டு வரும், நிதி ஆதாயத்தை நோக்கமாகக் கொண்ட இந்தக் குழு, மென்பொருள் உருவாக்குநர்கள் மீது அதிக கவனம் செலுத்தியுள்ளதுடன், உறுதிசெய்யப்பட்ட ஒரு சம்பவத்திலாவது மென்பொருள் விநியோகச் சங்கிலியில் ஊடுருவலையும் நிகழ்த்தியுள்ளது.
இந்தத் தாக்குதல் நடவடிக்கையானது, ஏமாற்றும் ஆட்சேர்ப்பு உத்திகள், தீம்பொருள் பரப்புதல் மற்றும் CI/CD சூழல்களில் ஆழமான ஊடுருவல் ஆகியவற்றின் ஒரு மேம்பட்ட கலவையை வெளிப்படுத்துகிறது. ஊழியர்களின் பணிநிலையங்களை ஊடுருவுவதன் மூலம், தாக்குதல் நடத்தியவர்கள் மேம்பாட்டு உள்கட்டமைப்பு மற்றும் குறியீடு விநியோக அமைப்புகளுக்குள் வெற்றிகரமாகப் பக்கவாட்டாக ஊடுருவி, இந்த ஊடுருவல்களின் வீச்சையும் தாக்கத்தையும் கணிசமாக அதிகரித்துள்ளனர்.
பொருளடக்கம்
ஆட்சேர்ப்பு மோசடிகள் நுழைவாயிலாக அமைகின்றன.
JINX-0164, கிரிப்டோகரன்சி தொடர்பான நிறுவனங்களில் பணிபுரியும் இலக்கு வைக்கப்பட்ட டெவலப்பர்கள் மற்றும் ஊழியர்களைத் தொடர்புகொள்ளுமாறு லிங்க்ட்இன் பயனர்களை நம்பவைக்கிறது. பாதிக்கப்பட்டவர்கள், முறையான டெலிகான்ஃபரன்சிங் தளங்களைப் போல ஆள்மாறாட்டம் செய்யும் மோசடி டொமைன்களில் நடத்தப்படும் மெய்நிகர் சந்திப்புகளில் பங்கேற்க அழைக்கப்படுகிறார்கள்.
போலி சந்திப்பு அமைக்கும் செயல்முறையின் போது, சந்திப்பு கிளையன்ட் அல்லது தொழில்நுட்பத் திருத்தம் போல் தோற்றமளிக்கும் ஒன்றைப் பதிவிறக்கம் செய்யுமாறு இலக்குகள் அறிவுறுத்தப்படுகிறார்கள். உண்மையில், பதிவிறக்கம் செய்யப்பட்ட அந்தக் கோப்பானது, 'apple.driver-store.com' என்ற போலியான டிரைவர் விநியோக டொமைனிலிருந்து, AUDIOFIX எனப்படும் பைதான் அடிப்படையிலான macOS தகவல் திருடன் மற்றும் தொலைநிலை அணுகல் ட்ரோஜனைப் பெறுவதன் மூலம் தொற்றுச் சங்கிலியைத் தொடங்குகிறது.
பாதிக்கப்பட்டவரின் கணினி கட்டமைப்பை அடையாளம் காணும் திறன் கொண்ட ஒரு பாஷ் ஸ்கிரிப்ட் மூலம் இந்தத் தொற்று செயல்முறை எளிதாக்கப்படுகிறது. இது, இன்டெல் அடிப்படையிலான மற்றும் ஆப்பிள் சிலிக்கான் மேக்ஓஎஸ் சாதனங்கள் இரண்டிலும் தீம்பொருள் தடையின்றி செயல்பட அனுமதிக்கிறது. இந்த பேலோட், 'coreaudiod' என்ற பெயரில் ஒரு சிஸ்டம் ஆடியோ டிரைவராக தன்னை மாறுவேடமிட்டு, 'ChromeUpdater' என்ற பெயரில் உள்ளூரில் சேமிக்கப்பட்டு, நிலைத்தன்மையைப் பராமரிப்பதற்காக மேக்ஓஎஸ் லான்ச்சிடிஎல் (launchctl) வழிமுறைகளைப் பயன்படுத்தி இயக்கப்படுகிறது.
ஆடியோஃபிக்ஸ் ஆழமான கணினி ஊடுருவலைச் செயல்படுத்துகிறது
ஒருமுறை நிறுவப்பட்டவுடன், ஆடியோஃபிக்ஸ் விரிவான நற்சான்றிதழ் திருட்டு மற்றும் உளவு நடவடிக்கைகளை மேற்கொள்வதோடு, உள் உள்கட்டமைப்பிற்குள் பக்கவாட்டு நகர்வையும் ஆதரிக்கிறது. கூடுதல் முனையங்களை ஊடுருவவும், கிரிப்டோகரன்சி வாலட் நற்சான்றிதழ்களை அறுவடை செய்யவும் முயலும் வகையில், இந்த மால்வேர் மேம்பாட்டு அமைப்புகளில் தீங்கிழைக்கும் பேலோடுகளைச் செலுத்தவும் மூலக் குறியீட்டை மாற்றியமைக்கவும் பயன்படுத்தப்படுவதை ஆராய்ச்சியாளர்கள் கண்டறிந்தனர்.
இந்த தீம்பொருளானது பின்வருவன உள்ளிட்ட பல்வேறு வகையான முக்கியமான தகவல்களைத் திருடும் திறன் கொண்டது:
- கடவுச்சொல் மேலாளர் நற்சான்றுகள், உலாவித் தரவு, iCloud Keychain கோப்புகள், SSH சாவிகள், நிர்வாகி நற்சான்றுகள், கன்சோல் வரலாற்றுப் பதிவுகள் மற்றும் உள்ளமைவுக் கோப்புகள்
- கிரிப்டோகரன்சி வாலட் முகவரிகள், கிரிப்டோ சேவைகளுடன் இணைக்கப்பட்ட உலாவி நீட்டிப்புத் தரவுகள், மற்றும் டிஸ்கார்ட், ஸ்லாக், டெலிகிராம் ஆகியவற்றிலிருந்து வரும் செயலில் உள்ள அமர்வுகள்.
தகவல் திருட்டைத் தாண்டி, ஆடியோஃபிக்ஸ் தொலைநிலை கட்டளைச் செயலாக்கம், கோப்பு நீக்கம், தரவுப் பொதி விநியோகம், உளவு நடவடிக்கைகள் மற்றும் பாதிக்கப்பட்ட கணினிகளிலிருந்து தரவுகளைக் கசியவிடுதல் ஆகியவற்றையும் ஆதரிக்கிறது.
விநியோகச் சங்கிலி முறைகேடு மூலம் மினிரேட் அச்சுறுத்தலை விரிவுபடுத்துகிறது.
இந்தச் செயல்பாட்டின் மற்றொரு முக்கிய அங்கமான மினிரேட் (MiniRAT), '@velora-dex/sdk' என்ற பெயரில் சமரசம் செய்யப்பட்ட npm தொகுப்புடன் இணைக்கப்பட்ட ஒரு Go-அடிப்படையிலான பின்கதவு ஆகும். இந்தத் தொகுப்பு, வெலோராடெக்ஸ் (VeloraDEX) தளத்தில் டோக்கன் பரிமாற்றங்கள், டெல்டா வர்த்தகம் மற்றும் வரம்பு ஆணைகளுக்காகப் பயன்படுத்தப்படும் ஒரு முறையான பரவலாக்கப்பட்ட நிதி கருவித்தொகுப்புடன் தொடர்புடையதாக இருந்தது.
அந்தத் தொகுப்பின் தீங்கிழைக்கும் பதிப்பானது, ஒரு தொலைநிலை சேவையகத்திலிருந்து ஒரு ஷெல் ஸ்கிரிப்டைப் பெற்று, இறுதியில் macOS-க்கு பிரத்யேகமான MiniRAT பைனரியை நிறுவியது. நிறுவப்பட்டதும், அந்த மால்வேர் தாக்குபவர்களைக் கோப்புகளைப் பதிவேற்றவும், தன்னிச்சையான ஷெல் கட்டளைகளை இயக்கவும், மற்றும் தாக்குபவரின் கட்டுப்பாட்டில் உள்ள உள்கட்டமைப்பிலிருந்து கூடுதல் கோப்புகளைப் பதிவிறக்கவும் வழிவகுத்தது.
ஜின்க்ஸ்-0164 குழுவானது, போலி ஆட்சேர்ப்பு வாய்ப்புகள் மற்றும் பாதிக்கப்பட்டவர்களை மோசடியான மென்பொருள் திருத்தங்களை நிறுவக் கோரும் புனையப்பட்ட தொழில்நுட்பச் சிக்கல்கள் ஆகியவற்றை உள்ளடக்கிய சமூகப் பொறியியல் தந்திரங்களை மீண்டும் மீண்டும் பயன்படுத்தி வருகிறது. இந்தத் தொடர்ச்சியான வழிமுறையானது, ஊடுருவலுக்கான முதன்மைக் காரணியாக மனிதர்களைக் கையாளுவதற்கு அக்குழு அளிக்கும் வலுவான முக்கியத்துவத்தை எடுத்துக்காட்டுகிறது.
வட கொரிய இணையச் செயல்பாடுகளுடன் சாத்தியமான தொடர்புகள்
இந்த நடவடிக்கையின் பல அம்சங்கள், புளூநோராஃப், கான்டேஜியஸ் இன்டர்வியூ மற்றும் UNC1069 போன்ற வட கொரிய இணைய அச்சுறுத்தல் குழுக்களுடன் முன்னர் தொடர்புடைய செயல்பாடுகளை ஒத்திருக்கின்றன. இலக்கு வைக்கும் முறைகள், போலியான டொமைன்கள் மற்றும் ஆஸ்ட்ரில் விபிஎன் போன்ற விபிஎன் சேவைகளின் பயன்பாடு ஆகியவற்றில் உள்ள ஒற்றுமைகளை ஆராய்ச்சியாளர்கள் குறிப்பிட்டனர்.
இந்த ஒற்றுமைகள் இருந்தபோதிலும், JINX-0164-ஐ வட கொரிய அரசின் ஆதரவுடனான செயல்பாடுகளுடன் நேரடியாக இணைக்கும் எந்தவொரு உறுதிப்படுத்தப்பட்ட உள்கட்டமைப்புத் தொடர்புகளையும் புலனாய்வாளர்கள் அடையாளம் காணவில்லை. தற்போதைய சான்றுகள், திட்டவட்டமான காரணத்தைக் கூறுவதை விட, செயல்பாட்டு ஒற்றுமைகளையே சுட்டிக்காட்டுகின்றன.
