Een nieuwe campagne, georkestreerd door een voorheen ongedocumenteerde bedreigingsacteur, heeft zich gericht op cryptocurrency-organisaties met als doel de diefstal van digitale activa te vergemakkelijken met behulp van social engineering met rekruteringsthema en op maat gemaakte macOS-malware.
“Deze campagnes maakten gebruik van geavanceerde social engineering-technieken, aangepaste macOS-malware en diepgaande targeting van de CI/CD-infrastructuur”, aldus Wiz-onderzoekers Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dan en Benjamin Read. “De gebruikte methoden stelden de bedreigingsacteur in staat om lateraal over te stappen van gecompromitteerde laptops van werknemers naar codedistributiesystemen en ontwikkelingsinfrastructuur.”
Het cloudbeveiligingsbedrijf van Google volgt de activiteit onder de naam JINX-0164. Er wordt aangenomen dat de bedreigingsacteur ten minste sinds medio 2025 actief is en wordt gemotiveerd door financieel gewin, waarbij hij zich op ontwikkelaars richt via wervingsthema’s en andere social engineering-technieken om cryptocurrencies over te hevelen. In ten minste één geval zou de tegenstander een supply chain-aanval hebben uitgevoerd.
In de door Wiz gedocumenteerde aanvalsketen blijkt JINX-0164 geloofwaardige LinkedIn-profielen te gebruiken om slachtoffers te benaderen en een virtuele ontmoeting aan te bieden. De uitnodiging voor de vergadering is bedoeld om het doelwit naar een frauduleus domein te leiden dat zich voordoet als een aanbieder van teleconferenties.
Van daaruit worden de slachtoffers misleid om het programma te downloaden en te installeren. Dit activeert op zijn beurt het ophalen van een op Python gebaseerde macOS-infostealer en trojan voor externe toegang met de codenaam AUDIOFIX, met behulp van een bash-script dat wordt gehost op een nep driverstore-domein (“apple.driver-store(.)com”).
“Het (bash) script downloadde een architectuurbewuste payload van hetzelfde domein, compatibel met zowel Intel- als Apple Silicon-systemen. De payload doet zich voor als een systeemaudiostuurprogramma met de naam coreaudiod, werd opgeslagen als ChromeUpdater en werd uitgevoerd via launchctl”, zei Wiz.
De Python-malware wordt vervolgens gebruikt om gevoelige gegevens van het gecompromitteerde eindpunt te stelen, lateraal naar interne codedistributiesystemen en ontwikkelingsinfrastructuur te verplaatsen door de AUDIOFIX-payload te injecteren, en de broncode te wijzigen in een poging andere eindpunten in gevaar te brengen en inloggegevens voor cryptocurrency-portemonnees te stelen.
De vastgelegde gegevens omvatten inloggegevens van wachtwoordbeheerders, webbrowsers en iCloud-sleutelhangerbestanden; lokale beheerdersreferenties; SSH-sleutels; configuratiebestanden; consolegeschiedenisbestanden; informatie over browserextensies voor cryptocurrency; cryptocurrency portemonnee-adressen; en actieve Discord-, Slack- en Telegram-sessies.
Naast informatiediefstal ondersteunt AUDIOFIX verschillende commando’s die handmatige verkenning, exfiltratie, willekeurige uitvoering van shell-commando’s, het verwijderen van bestanden en het ophalen van de payload van een externe server mogelijk maken.
Er is ook waargenomen dat JINX-0164 zich richt op softwareontwikkelaars door zich voor te doen als recruiters, terwijl ze dezelfde social engineering-techniek gebruiken: de vacature gebruiken om een bijeenkomst te organiseren waarin een valse technische fout wordt weergegeven en het slachtoffer wordt geïnstrueerd een ‘fix’ te downloaden die tot de installatie van malware leidt.
Een ander belangrijk onderdeel van het arsenaal van de bedreigingsacteur is MiniRAT, een op Go gebaseerde achterdeur die eerder werd gedistribueerd via een gecompromitteerde versie van een npm-pakket met de naam @velora-dex/sdk, een legitieme DeFi-toolkit die wordt gebruikt voor token swaps, limietorders en deltahandel op het gedecentraliseerde uitwisselingsplatform VeloraDEX.
Volgens details die vorige maand door SafeDep en StepSecurity werden gedeeld, downloadde de vergiftigde versie een shellscript van een externe server, die vervolgens een macOS-specifiek binair bestand afleverde genaamd MiniRAT. De malware is uitgerust om bestanden te uploaden, willekeurige shell-opdrachten uit te voeren en extra payloads of tools op te halen uit door de aanvaller gecontroleerde domeinen.
Het is vermeldenswaard dat sommige aspecten van de campagne, in combinatie met het gebruik van VPN-diensten zoals Astrill VPN en de focus op cryptocurrency en ontwikkelaars, doen denken aan de aspecten die worden gebruikt door meerdere Noord-Koreaanse dreigingsclusters zoals BlueNoroff, Contagious Interview en UNC1069. Wiz zei echter dat er in dit stadium geen overlappingen zijn in de infrastructuur die JINX-0164 met Pyongyang verbinden.
“Op dezelfde manier zijn de soorten spoofing-domeinen vergelijkbaar met die gebruikt door andere Noord-Koreaanse actoren; de JINX-0164-infrastructuur heeft echter geen enkele overlap met andere publiekelijk gevolgde Noord-Koreaanse groepen,” zei Wiz.
