JINX-0164 ముప్పు కారకుడు

JINX-0164గా గుర్తించబడిన, ఇంతకుముందు నమోదుకాని ఒక ముప్పు కలిగించే వ్యక్తి, డిజిటల్ ఆస్తులను దొంగిలించడానికి నియామక-ఆధారిత సోషల్ ఇంజనీరింగ్ మరియు ప్రత్యేకంగా రూపొందించిన macOS మాల్వేర్‌ను ఉపయోగించి, క్రిప్టోకరెన్సీ సంస్థలపై అత్యంత లక్షిత సైబర్ దాడిని నిర్వహించాడు. కనీసం 2025 మధ్యకాలం నుండి చురుకుగా ఉన్న, ఆర్థిక ప్రేరణ కలిగిన ఈ బృందం డెవలపర్‌లపై ఎక్కువగా దృష్టి సారించింది మరియు ధృవీకరించబడిన కనీసం ఒక సంఘటనలో, సాఫ్ట్‌వేర్ సరఫరా గొలుసును దెబ్బతీసింది.

ఈ దాడి మోసపూరిత నియామక వ్యూహాలు, మాల్వేర్ విస్తరణ, మరియు CI/CD వాతావరణాలలోకి లోతైన చొరబాటు వంటి వాటి యొక్క అధునాతన కలయికను ప్రదర్శిస్తుంది. ఉద్యోగుల వర్క్‌స్టేషన్‌లను దెబ్బతీయడం ద్వారా, దాడిదారులు డెవలప్‌మెంట్ ఇన్‌ఫ్రాస్ట్రక్చర్ మరియు కోడ్ డిస్ట్రిబ్యూషన్ సిస్టమ్స్‌లోకి విజయవంతంగా ప్రవేశించి, చొరబాట్ల పరిధిని మరియు ప్రభావాన్ని గణనీయంగా పెంచారు.

నియామక మోసాలు ప్రవేశ మార్గంగా మారుతున్నాయి

JINX-0164 అనేది, క్రిప్టోకరెన్సీ సంబంధిత సంస్థలలో పనిచేస్తున్న లక్షిత డెవలపర్‌లు మరియు ఉద్యోగులతో సంప్రదింపులు ప్రారంభించేలా లింక్డ్ఇన్ నకిలీ వ్యక్తులను ఒప్పించడంపై ఆధారపడి ఉంటుంది. చట్టబద్ధమైన టెలికాన్ఫరెన్సింగ్ ప్లాట్‌ఫారమ్‌ల వలె నటిస్తున్న మోసపూరిత డొమైన్‌లపై నిర్వహించబడే వర్చువల్ సమావేశాలలో పాల్గొనమని బాధితులను ఆహ్వానిస్తారు.

నకిలీ సమావేశాన్ని ఏర్పాటు చేసే ప్రక్రియలో, మీటింగ్ క్లయింట్ లేదా టెక్నికల్ ఫిక్స్ లాగా కనిపించే దాన్ని డౌన్‌లోడ్ చేసుకోమని బాధితులకు సూచిస్తారు. వాస్తవానికి, డౌన్‌లోడ్ చేసిన ఫైల్, 'apple.driver-store.com' అనే నకిలీ డ్రైవర్ పంపిణీ డొమైన్ నుండి AUDIOFIX అనే పైథాన్ ఆధారిత macOS ఇన్ఫోస్టీలర్ మరియు రిమోట్ యాక్సెస్ ట్రోజన్‌ను పొందడం ద్వారా ఇన్ఫెక్షన్ గొలుసును ప్రారంభిస్తుంది.

బాధితుని సిస్టమ్ ఆర్కిటెక్చర్‌ను గుర్తించగల ఒక బాష్ స్క్రిప్ట్ ద్వారా ఇన్ఫెక్షన్ ప్రక్రియ సులభతరం చేయబడుతుంది, ఇది మాల్వేర్‌ను ఇంటెల్-ఆధారిత మరియు ఆపిల్ సిలికాన్ macOS పరికరాలు రెండింటిలోనూ సజావుగా పనిచేయడానికి అనుమతిస్తుంది. పేలోడ్ 'coreaudiod' అనే సిస్టమ్ ఆడియో డ్రైవర్‌గా మారువేషంలో ఉంటుంది, స్థానికంగా 'ChromeUpdater'గా నిల్వ చేయబడుతుంది మరియు నిలకడను కొనసాగించడానికి macOS launchctl మెకానిజమ్‌లను ఉపయోగించి ప్రారంభించబడుతుంది.

ఆడియోఫిక్స్ డీప్ సిస్టమ్ కాంప్రమైజ్‌ను సాధ్యం చేస్తుంది

ఒకసారి అమలులోకి వచ్చాక, ఆడియోఫిక్స్ విస్తృతమైన క్రెడెన్షియల్ దొంగతనం మరియు నిఘా కార్యకలాపాలను నిర్వహిస్తుంది, అదే సమయంలో అంతర్గత మౌలిక సదుపాయాలలోకి ప్రవేశించడానికి కూడా మద్దతు ఇస్తుంది. అదనపు ఎండ్‌పాయింట్‌లను దెబ్బతీయడానికి మరియు క్రిప్టోకరెన్సీ వాలెట్ క్రెడెన్షియల్‌లను సేకరించడానికి చేసే ప్రయత్నాలలో, డెవలప్‌మెంట్ సిస్టమ్‌లలోకి హానికరమైన పేలోడ్‌లను చొప్పించడానికి మరియు సోర్స్ కోడ్‌ను సవరించడానికి ఈ మాల్వేర్‌ను ఉపయోగిస్తున్నట్లు పరిశోధకులు గమనించారు.

ఈ మాల్వేర్ కింది వాటితో సహా విస్తృత శ్రేణి సున్నితమైన సమాచారాన్ని దొంగిలించగల సామర్థ్యాన్ని కలిగి ఉంది:

• పాస్‌వర్డ్ మేనేజర్ ఆధారాలు, బ్రౌజర్ డేటా, ఐక్లౌడ్ కీచైన్ ఫైల్స్, SSH కీలు, నిర్వాహక ఆధారాలు, కన్సోల్ హిస్టరీ రికార్డులు మరియు కాన్ఫిగరేషన్ ఫైల్స్
• క్రిప్టోకరెన్సీ వాలెట్ చిరునామాలు, క్రిప్టో సేవలకు లింక్ చేయబడిన బ్రౌజర్ ఎక్స్‌టెన్షన్ డేటా మరియు డిస్కార్డ్, స్లాక్ మరియు టెలిగ్రామ్ నుండి యాక్టివ్ సెషన్‌లు

సమాచార దొంగతనంతో పాటు, AUDIOFIX రిమోట్ కమాండ్ ఎగ్జిక్యూషన్, ఫైల్ తొలగింపు, పేలోడ్ డెలివరీ, నిఘా కార్యకలాపాలు మరియు సోకిన సిస్టమ్‌ల నుండి డేటా బహిష్కరణకు కూడా మద్దతు ఇస్తుంది.

సరఫరా గొలుసు దుర్వినియోగం ద్వారా మినీరాట్ ముప్పును విస్తరిస్తోంది

ఈ ఆపరేషన్‌లో మరో ప్రధాన భాగం మినీరాట్ (MiniRAT). ఇది '@velora-dex/sdk' అనే హ్యాక్ చేయబడిన npm ప్యాకేజీకి అనుసంధానించబడిన ఒక గో-ఆధారిత బ్యాక్‌డోర్. ఈ ప్యాకేజీ, వెలోరాడెక్స్ (VeloraDEX) ప్లాట్‌ఫామ్‌పై టోకెన్ స్వాప్‌లు, డెల్టా ట్రేడింగ్ మరియు లిమిట్ ఆర్డర్‌ల కోసం ఉపయోగించే ఒక చట్టబద్ధమైన వికేంద్రీకృత ఫైనాన్స్ టూల్‌కిట్‌కు అనుబంధంగా ఉంది.

ప్యాకేజీ యొక్క హానికరమైన వెర్షన్ ఒక రిమోట్ సర్వర్ నుండి షెల్ స్క్రిప్ట్‌ను పొంది, చివరికి macOS-కు ప్రత్యేకమైన MiniRAT బైనరీని ఇన్‌స్టాల్ చేసింది. ఇన్‌స్టాల్ అయిన తర్వాత, ఈ మాల్వేర్ దాడి చేసేవారికి ఫైళ్లను అప్‌లోడ్ చేయడానికి, ఇష్టానుసారమైన షెల్ కమాండ్‌లను అమలు చేయడానికి మరియు వారి నియంత్రణలో ఉన్న మౌలిక సదుపాయాల నుండి అదనపు పేలోడ్‌లను డౌన్‌లోడ్ చేసుకోవడానికి వీలు కల్పించింది.

JINX-0164, నకిలీ నియామక అవకాశాలు మరియు బాధితులు మోసపూరిత సాఫ్ట్‌వేర్ పరిష్కారాలను ఇన్‌స్టాల్ చేయవలసిన అవసరం ఉన్న కల్పిత సాంకేతిక సమస్యలతో కూడిన సోషల్ ఇంజనీరింగ్ వ్యూహాలను పదేపదే ఉపయోగించింది. ఈ స్థిరమైన పద్ధతి, ప్రాథమిక చొరబాటు మార్గంగా మానవ తారుమారుపై ఈ సమూహం ఎంతగా నొక్కి చెబుతుందో స్పష్టం చేస్తుంది.

ఉత్తర కొరియా సైబర్ కార్యకలాపాలకు సాధ్యమయ్యే సంబంధాలు

ఈ ప్రచారంలోని అనేక లక్షణాలు, గతంలో బ్లూనొరాఫ్, కాంటాజియస్ ఇంటర్వ్యూ, మరియు UNC1069 వంటి ఉత్తర కొరియా సైబర్ ముప్పు సమూహాలతో ముడిపడి ఉన్న కార్యకలాపాలను పోలి ఉన్నాయి. లక్ష్యంగా చేసుకునే పద్ధతులు, నకిలీ డొమైన్‌లు, మరియు ఆస్ట్రిల్ VPN వంటి VPN సేవల వాడకంలో సారూప్యతలను పరిశోధకులు గుర్తించారు.

ఈ సారూప్యతలు ఉన్నప్పటికీ, జిన్క్స్-0164ను ఉత్తర కొరియా ప్రభుత్వ-ప్రాయోజిత కార్యకలాపాలతో నేరుగా అనుసంధానించే ఎలాంటి నిర్ధారిత మౌలిక సదుపాయాల సంబంధాలను దర్యాప్తు అధికారులు గుర్తించలేదు. ప్రస్తుత ఆధారాలు ఖచ్చితమైన ఆపాదన కంటే కార్యాచరణ సారూప్యతలను సూచిస్తున్నాయి.