JINX-0164 威脅行為者
一個名為 JINX-0164 的先前未被記錄在案的威脅組織,精心策劃了一場針對加密貨幣組織的高針對性網路攻擊,利用以招募為主題的社會工程攻擊和定制的 macOS 惡意軟體竊取數位資產。該組織至少從 2025 年年中就開始活躍,其主要攻擊目標是開發者,並且在至少一起已確認的事件中,該組織實施了軟體供應鏈入侵。
這次攻擊活動展現了攻擊者運用欺騙性招募策略、惡意軟體部署以及對持續整合/持續交付 (CI/CD) 環境的深度滲透等一系列先進手段。透過入侵員工工作站,攻擊者成功橫向滲透到開發基礎設施和程式碼分發系統中,顯著擴大了入侵的範圍和影響。
目錄
招募騙局成為切入點
JINX-0164 惡意軟體透過誘騙 LinkedIn 帳號主動聯繫加密貨幣相關機構的開發人員和員工。受害者會被邀請參加在冒充合法視訊會議平台的詐欺網域上舉行的虛擬會議。
在虛假會議設定過程中,目標使用者會被指示下載看似會議用戶端或技術修復程式的檔案。實際上,下載的檔案會啟動感染鏈,它會從偽造的驅動程式分發網域名稱「apple.driver-store.com」中取得一個名為 AUDIOFIX 的基於 Python 的 macOS 資訊竊取程式和遠端存取木馬。
該惡意軟體透過一個能夠識別受害者係統架構的 bash 腳本進行感染,使其能夠在基於 Intel 和 Apple Silicon 的 macOS 裝置上無縫運行。其有效載荷偽裝成名為“coreaudiod”的系統音頻驅動程序,以“ChromeUpdater”的名稱存儲在本地,並利用 macOS 的 launchctl 機制啟動以維持持久性。
AUDIOFIX 導致系統深度入侵
AUDIOFIX一旦部署,便會執行廣泛的憑證竊取和偵察操作,同時還能橫向滲透到內部基礎設施。研究人員觀察到,該惡意軟體被用於向開發系統注入惡意載荷並修改原始程式碼,試圖入侵更多終端並竊取加密貨幣錢包憑證。
該惡意軟體能夠竊取各種敏感資訊,包括:
- 密碼管理器憑證、瀏覽器資料、iCloud 鑰匙圈檔案、SSH 金鑰、管理員憑證、控制台歷史記錄和設定文件
- 加密貨幣錢包位址、與加密服務關聯的瀏覽器擴充功能數據,以及來自 Discord、Slack 和 Telegram 的活躍會話。
除了資訊竊取之外,AUDIOFIX 還支援遠端命令執行、檔案刪除、有效載荷投放、偵察活動以及從受感染系統中竊取資料。
微型遠端控制木馬透過濫用供應鏈擴大威脅
該行動的另一個主要組成部分是 MiniRAT,這是一個基於 Go 的後門,與名為「@velora-dex/sdk」的被入侵的 npm 套件相關聯。該包與 VeloraDEX 平台上用於代幣兌換、delta 交易和限價單的合法去中心化金融工具包相關聯。
該惡意軟體包從遠端伺服器取得了一個 shell 腳本,最終部署了一個 macOS 特有的 MiniRAT 二進位。安裝完成後,該惡意軟體使攻擊者能夠上傳檔案、執行任意 shell 命令,並從攻擊者控制的基礎架構下載其他有效載荷。
JINX-0164 重複使用社交工程手段,包括虛假招聘機會和捏造的技術問題,誘使受害者安裝欺詐性軟體修復程序。這種一貫的作案手法凸顯了該組織高度重視人為操縱,並將其作為主要入侵手段。
可能與北韓網路行動有關
此攻擊活動的幾個特徵與先前與朝鮮網路威脅組織(例如 BlueNoroff、Contagious Interview 和 UNC1069)相關的活動相似。研究人員注意到,在目標模式、偽造網域名稱以及使用 Astrill VPN 等 VPN 服務方面存在相似之處。
儘管存在這些重疊之處,但調查人員尚未發現任何確鑿的基礎設施聯繫,能將JINX-0164與北韓國家支持的行動直接聯繫起來。現有證據表明,兩者在行動方式上有相似之處,但尚無法得出明確的關聯結論。
