JINX-0164 Aktor na Nagbabanta
Isang dating walang dokumentong aktor ng banta na kinilala bilang JINX-0164 ang nag-organisa ng isang lubos na naka-target na kampanya sa cyber laban sa mga organisasyon ng cryptocurrency, gamit ang social engineering na may temang recruitment at custom-built na macOS malware upang magnakaw ng mga digital asset. Aktibo simula noong kalagitnaan ng 2025, ang grupong may motibasyon sa pananalapi ay lubos na nakatuon sa mga developer at, sa kahit isang nakumpirmang insidente, ay nagsagawa ng isang kompromiso sa supply chain ng software.
Ipinapakita ng kampanya ang isang makabagong kombinasyon ng mapanlinlang na mga taktika sa recruitment, pag-deploy ng malware, at malalim na pagpasok sa mga kapaligirang CI/CD. Sa pamamagitan ng pagkompromiso sa mga workstation ng empleyado, matagumpay na lumipat ang mga umaatake sa imprastraktura ng pag-unlad at mga sistema ng pamamahagi ng code, na lubos na nagpapataas ng saklaw at epekto ng mga panghihimasok.
Talaan ng mga Nilalaman
Ang mga Panloloko sa Pagrerekrut ang Nagiging Puntos ng Pagpasok
Ang JINX-0164 ay umaasa sa pagkumbinsi sa mga persona sa LinkedIn na makipag-ugnayan sa mga target na developer at empleyado na nagtatrabaho sa loob ng mga organisasyong may kaugnayan sa cryptocurrency. Ang mga biktima ay iniimbitahan na lumahok sa mga virtual na pagpupulong na naka-host sa mga mapanlinlang na domain na nagpapanggap na lehitimong mga platform ng teleconferencing.
Sa proseso ng pekeng pag-setup ng meeting, inaatasan ang mga target na mag-download ng tila isang meeting client o teknikal na pag-aayos. Sa katotohanan, ang na-download na file ang nagsisimula ng infection chain sa pamamagitan ng pagkuha ng isang Python-based macOS infostealer at remote access trojan na kilala bilang AUDIOFIX mula sa isang pekeng driver distribution domain, ang 'apple.driver-store.com.'
Ang proseso ng impeksyon ay pinapadali sa pamamagitan ng isang bash script na may kakayahang matukoy ang arkitektura ng sistema ng biktima, na nagpapahintulot sa malware na gumana nang walang putol sa parehong Intel-based at Apple Silicon macOS device. Ang payload ay nagbabalatkayo bilang isang system audio driver na pinangalanang 'coreaudiod,' ay lokal na iniimbak bilang 'ChromeUpdater,' at inilulunsad gamit ang mga mekanismo ng macOS launchctl upang mapanatili ang persistence.
Pinapagana ng AUDIOFIX ang Malalim na Kompromiso sa Sistema
Kapag na-deploy na, ang AUDIOFIX ay nagsasagawa ng malawakang pagnanakaw ng kredensyal at mga operasyon sa pagmamanman habang sinusuportahan din ang lateral na paggalaw sa panloob na imprastraktura. Naobserbahan ng mga mananaliksik na ginagamit ang malware upang magpasok ng mga malisyosong payload sa mga development system at baguhin ang source code sa mga pagtatangkang ikompromiso ang mga karagdagang endpoint at mang-ani ng mga kredensyal ng cryptocurrency wallet.
Ang malware ay may kakayahang magnakaw ng malawak na hanay ng sensitibong impormasyon, kabilang ang:
- Mga kredensyal ng password manager, data ng browser, mga iCloud Keychain file, mga SSH key, mga kredensyal ng administrator, mga talaan ng kasaysayan ng console, at mga configuration file
- Mga address ng cryptocurrency wallet, data ng extension ng browser na naka-link sa mga serbisyo ng crypto, at mga aktibong sesyon mula sa Discord, Slack, at Telegram
Bukod sa pagnanakaw ng impormasyon, sinusuportahan din ng AUDIOFIX ang malayuang pagpapatupad ng utos, pagtanggal ng file, paghahatid ng payload, mga aktibidad ng pagmamanman, at pagkuha ng data mula sa mga nahawaang sistema.
Pinalalawak ng MiniRAT ang Banta sa Pamamagitan ng Pag-abuso sa Supply Chain
Ang isa pang pangunahing bahagi ng operasyon ay ang MiniRAT, isang Go-based backdoor na nakatali sa isang nakompromisong npm package na pinangalanang '@velora-dex/sdk.' Ang package ay nauugnay sa isang lehitimong decentralized finance toolkit na ginagamit para sa token swaps, delta trading, at limit orders sa VeloraDEX platform.
Ang malisyosong bersyon ng package ay nakakuha ng shell script mula sa isang remote server, na kalaunan ay nag-deploy ng isang macOS-specific MiniRAT binary. Nang ma-install, binigyang-daan ng malware ang mga attacker na mag-upload ng mga file, magpatupad ng mga arbitraryong shell command, at mag-download ng mga karagdagang payload mula sa attacker-controlled infrastructure.
Paulit-ulit na ginamit muli ng JINX-0164 ang mga taktika ng social engineering na kinasasangkutan ng mga pekeng oportunidad sa recruitment at mga gawa-gawang teknikal na problema na nangangailangan ng mga biktima na mag-install ng mga mapanlinlang na pag-aayos ng software. Itinatampok ng pare-parehong metodolohiyang ito ang malakas na diin ng grupo sa manipulasyon ng tao bilang pangunahing dahilan ng panghihimasok.
Mga Posibleng Kaugnayan sa mga Operasyon sa Cyber ng Hilagang Korea
Ilang katangian ng kampanya ang kahawig ng aktibidad na dating iniuugnay sa mga grupong nagbabanta sa cyber ng Hilagang Korea tulad ng BlueNoroff, Contagious Interview, at UNC1069. Napansin ng mga mananaliksik ang pagkakatulad sa mga pattern ng pag-target, mga pekeng domain, at ang paggamit ng mga serbisyo ng VPN tulad ng Astrill VPN.
Sa kabila ng mga pagsasanib na ito, wala pang natukoy na anumang kumpirmadong koneksyon sa imprastraktura na direktang nag-uugnay sa JINX-0164 sa mga operasyong itinataguyod ng estado ng Hilagang Korea. Ang kasalukuyang ebidensya ay nagmumungkahi ng mga pagkakatulad sa operasyon sa halip na tiyak na pagpapalagay.
