JINX-0164 Виконавець загрози
Раніше незареєстрований зловмисник, ідентифікований як JINX-0164, організував цілеспрямовану кіберкампанію проти криптовалютних організацій, використовуючи соціальну інженерію з метою вербування та спеціально розроблене шкідливе програмне забезпечення для macOS для крадіжки цифрових активів. Ця фінансово мотивована група, яка працює щонайменше з середини 2025 року, зосередилася переважно на розробниках і, принаймні в одному підтвердженому інциденті, здійснила компрометацію ланцюга постачання програмного забезпечення.
Кампанія демонструє передове поєднання оманливих тактик вербування, розгортання шкідливого програмного забезпечення та глибокого проникнення в середовища неперервної інтеграції/розподілу коду. Шляхом компрометації робочих станцій співробітників, зловмисники успішно проникали в інфраструктуру розробки та системи розповсюдження коду, значно збільшуючи масштаби та вплив вторгнень.
Зміст
Шахрайство з рекрутингом стає точкою входу
JINX-0164 покладається на переконання користувачів LinkedIn зв'язатися з цільовими розробниками та співробітниками організацій, пов'язаних з криптовалютою. Жертв запрошують до участі у віртуальних зустрічах, що проводяться на шахрайських доменах, що видають себе за легітимні платформи для телеконференцій.
Під час фальшивого процесу налаштування зустрічі зловмисникам доручають завантажити те, що виглядає як клієнт зустрічі або технічне виправлення. Насправді завантажений файл ініціює ланцюжок зараження, витягуючи інформаційний викрадач macOS на основі Python та троян віддаленого доступу, відомий як AUDIOFIX, з підробленого домену розповсюдження драйверів «apple.driver-store.com».
Процес зараження здійснюється за допомогою bash-скрипта, здатного ідентифікувати архітектуру системи жертви, що дозволяє шкідливому програмному забезпеченню безперебійно працювати як на пристроях macOS на базі Intel, так і на Apple Silicon. Корисне навантаження маскується під системний аудіодрайвер під назвою «coreaudiod», зберігається локально як «ChromeUpdater» і запускається за допомогою механізмів launchctl macOS для підтримки персистентності.
AUDIOFIX забезпечує глибокий компрометаційний режим роботи системи
Після розгортання AUDIOFIX виконує масштабні операції з крадіжки облікових даних та розвідки, а також підтримує латеральний рух у внутрішню інфраструктуру. Дослідники спостерігали, як шкідливе програмне забезпечення використовувалося для впровадження шкідливих корисних навантажень у системи розробки та зміни вихідного коду з метою компрометації додаткових кінцевих точок та збору облікових даних криптовалютних гаманців.
Шкідливе програмне забезпечення здатне красти широкий спектр конфіденційної інформації, зокрема:
- Облікові дані менеджера паролів, дані браузера, файли в'язки iCloud, ключі SSH, облікові дані адміністратора, записи історії консолі та файли конфігурації
- Адреси криптовалютних гаманців, дані розширень браузера, пов'язані з криптосервісами, та активні сесії з Discord, Slack та Telegram
Окрім крадіжки інформації, AUDIOFIX також підтримує віддалене виконання команд, видалення файлів, доставку корисного навантаження, розвідувальні дії та вилучення даних із заражених систем.
MiniRAT посилює загрозу через зловживання ланцюгом поставок
Ще одним важливим компонентом операції є MiniRAT, бекдор на базі Go, пов'язаний зі скомпрометованим npm-пакетом під назвою «@velora-dex/sdk». Пакет був пов'язаний із легітимним набором інструментів для децентралізованих фінансів, що використовуються для свопів токенів, дельта-трейдингу та лімітних ордерів на платформі VeloraDEX.
Шкідлива версія пакета отримувала скрипт оболонки з віддаленого сервера, зрештою розгортаючи бінарний файл MiniRAT, специфічний для macOS. Після встановлення шкідливе програмне забезпечення дозволяло зловмисникам завантажувати файли, виконувати довільні команди оболонки та завантажувати додаткові корисні навантаження з контрольованої зловмисником інфраструктури.
JINX-0164 неодноразово використовувала тактику соціальної інженерії, що включала фальшиві можливості для вербування та сфабриковані технічні проблеми, що вимагали від жертв встановлення шахрайських виправлень програмного забезпечення. Така послідовна методологія підкреслює сильний акцент групи на маніпуляціях людьми як основному векторі вторгнення.
Можливі зв’язки з північнокорейськими кіберопераціями
Деякі характеристики кампанії нагадують діяльність, яку раніше пов'язували з північнокорейськими групами кіберзлочинців, такими як BlueNoroff, Contagious Interview та UNC1069. Дослідники відзначили подібність у схемах таргетування, підроблених доменах та використанні VPN-сервісів, таких як Astrill VPN.
Незважаючи на ці збіги, слідчі не виявили жодних підтверджених інфраструктурних зв'язків, що безпосередньо пов'язують JINX-0164 з операціями, що спонсоруються державою Північної Кореї. Поточні дані свідчать про оперативну схожість, а не про остаточне приписування.
