JINX-0164 威胁行为者

一个名为 JINX-0164 的此前未被记录在案的威胁组织，精心策划了一场针对加密货币组织的高针对性网络攻击，利用以招募为主题的社会工程攻击和定制的 macOS 恶意软件窃取数字资产。该组织至少从 2025 年年中就开始活跃，其主要攻击目标是开发者，并且在至少一起已确认的事件中，该组织实施了软件供应链入侵。

此次攻击活动展现了攻击者运用欺骗性招募策略、恶意软件部署以及对持续集成/持续交付 (CI/CD) 环境的深度渗透等一系列先进手段。通过入侵员工工作站，攻击者成功横向渗透到开发基础设施和代码分发系统中，显著扩大了入侵的范围和影响。

招聘骗局成为切入点

JINX-0164 恶意软件通过诱骗 LinkedIn 账号主动联系加密货币相关机构的开发人员和员工。受害者会被邀请参加在冒充合法视频会议平台的欺诈域名上举行的虚拟会议。

在虚假会议设置过程中，目标用户会被指示下载看似会议客户端或技术修复程序的文件。实际上，下载的文件会启动感染链，它会从伪造的驱动程序分发域名“apple.driver-store.com”中获取一个名为 AUDIOFIX 的基于 Python 的 macOS 信息窃取程序和远程访问木马。

该恶意软件通过一个能够识别受害者系统架构的 bash 脚本进行感染，从而使其能够在基于 Intel 和 Apple Silicon 的 macOS 设备上无缝运行。其有效载荷伪装成名为“coreaudiod”的系统音频驱动程序，以“ChromeUpdater”的名称存储在本地，并利用 macOS 的 launchctl 机制启动以维持持久性。

AUDIOFIX 导致系统深度入侵

AUDIOFIX一旦部署，便会执行广泛的凭证窃取和侦察操作，同时还能横向渗透到内部基础设施中。研究人员观察到，该恶意软件被用于向开发系统注入恶意载荷并修改源代码，试图入侵更多终端并窃取加密货币钱包凭证。

该恶意软件能够窃取各种敏感信息，包括：

• 密码管理器凭据、浏览器数据、iCloud 钥匙串文件、SSH 密钥、管理员凭据、控制台历史记录和配置文件
• 加密货币钱包地址、与加密服务关联的浏览器扩展程序数据，以及来自 Discord、Slack 和 Telegram 的活跃会话。

除了信息窃取之外，AUDIOFIX 还支持远程命令执行、文件删除、有效载荷投放、侦察活动以及从受感染系统中窃取数据。

微型远程控制木马通过滥用供应链扩大威胁

该行动的另一个主要组成部分是 MiniRAT，这是一个基于 Go 的后门，与名为“@velora-dex/sdk”的被入侵的 npm 包相关联。该包与 VeloraDEX 平台上用于代币兑换、delta 交易和限价单的合法去中心化金融工具包相关联。

该恶意软件包从远程服务器获取了一个 shell 脚本，最终部署了一个 macOS 特有的 MiniRAT 二进制文件。安装完成后，该恶意软件使攻击者能够上传文件、执行任意 shell 命令，并从攻击者控制的基础架构下载其他有效载荷。

JINX-0164 反复使用社交工程手段，包括虚假招聘机会和捏造的技术问题，诱使受害者安装欺诈性软件修复程序。这种一贯的作案手法凸显了该组织高度重视人为操纵，并将其作为主要入侵手段。

可能与朝鲜网络行动有关

该攻击活动的几个特征与之前与朝鲜网络威胁组织（例如 BlueNoroff、Contagious Interview 和 UNC1069）相关的活动相似。研究人员注意到，在目标模式、伪造域名以及使用 Astrill VPN 等 VPN 服务方面存在相似之处。

尽管存在这些重叠之处，但调查人员尚未发现任何确凿的基础设施联系，能将JINX-0164与朝鲜国家支持的行动直接联系起来。现有证据表明，两者在行动方式上存在相似之处，但尚无法得出明确的关联结论。