СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 часа назад
#Dev#ИБ#Облака

JINX-0164 атакует крипторазработку через LinkedIn и macOS-вредоносное ПО

JINX-0164 атакует crypto industry через LinkedIn, GitHub и вредоносное ПО для macOS

Команда CIRT и исследовательская группа Wiz сообщили о новом злоумышленнике, получившем обозначение JINX-0164. По данным отчета, актор как минимум с середины 2025 года целенаправленно атакует crypto industry, делая основной упор на инфраструктуру разработки программного обеспечения и связанные с ней учетные данные.

Особую опасность, как отмечают исследователи, представляет сочетание социальной инженерии, поддельных профилей в LinkedIn и цепочки заражения, в которой жертву подталкивают к загрузке macOS-malware с маскировкой под легитимную платформу для видеоконференций.

Социальная инженерия как точка входа

JINX-0164 использует тщательно выстроенные сценарии обмана. Злоумышленники создают правдоподобные профили в LinkedIn, выдают себя за доверенных специалистов и приглашают жертв на якобы обычные виртуальные встречи. После установления контакта пользователя перенаправляют на вредоносный домен, визуально имитирующий реальный сервис для видеосвязи.

Именно на этом этапе жертва, не подозревая о компрометации, загружает вредоносное ПО для macOS. Исследователи подчеркивают, что такая схема особенно опасна для команд разработки, где доверие к внешним контактам, подрядчикам и партнерам часто выше среднего.

AUDIOFIX: RAT для кражи учетных данных

Основным payload в кампании выступает вредоносное ПО под названием AUDIOFIX. Оно функционирует как remote access trojan (RAT) и предназначено для скрытого доступа к зараженным системам.

После закрепления на устройстве AUDIOFIX собирает широкий набор данных, включая учетные записи из:

  • популярных password managers;
  • browser extensions для crypto wallets;
  • чат-приложений, включая Discord и Slack;
  • SSH keys и API tokens;
  • секретов cloud infrastructure.

По оценке исследователей, именно кража таких данных открывает злоумышленникам путь к дальнейшему перемещению внутри компании и к компрометации внутренних сред разработки.

Доступ к коду и риск supply chain

Получив украденные учетные данные, JINX-0164 использует их для перемещения внутри организации и доступа к внутренним системам распространения кода. В отчете говорится, что злоумышленники уже были замечены в модификации internal source code с целью развертывания дополнительного ВПО для извлечения криптовалюты и другой конфиденциальной информации.

Отдельно исследователи отмечают эпизод, в котором вредоносный код был внедрен в npm package, широко используемый в crypto-среде. Такой сценарий создает серьезный риск supply chain attack, поскольку зараженный пакет может распространиться на большое число downstream-пользователей и проектов.

Методика JINX-0164 демонстрирует системный подход к маскировке вредоносной активности под легитимные операции разработки.

Инфраструктура, C2 и обход обнаружения

Одной из заметных особенностей кампании является устойчивость инфраструктуры управления. AUDIOFIX подключается к C2-servers через зашифрованные каналы связи и использует backup domains для сохранения доступа даже при блокировке основных узлов.

Для уклонения от обнаружения злоумышленники применяют маршрутизацию через различные VPN-сервисы, включая Mullvad, Astrill и Express VPN. Такая схема затрудняет атрибуцию и усложняет работу средств мониторинга.

Кроме того, инфраструктура актора, по словам исследователей, имитирует легитимные сервисы, что дополнительно повышает вероятность успешного проникновения и снижает настороженность у жертв.

MINIRAT: вторичный backdoor

Помимо AUDIOFIX, JINX-0164 также развернул вторичное ВПО под названием MINIRAT. Это менее сложная backdoor-программа, предназначенная для базовой разведки и закрепления на зараженных машинах.

Хотя MINIRAT уступает основному инструменту по функциональности, он усиливает контроль над компрометированной средой и создает дополнительный канал для последующих действий.

Что рекомендуют исследователи

В отчете подчеркивается, что обнаружение такой активности должно начинаться с мониторинга конечных точек и выявления необычного поведения в системной среде. Среди ключевых мер защиты названы следующие:

  • мониторинг endpoints с использованием advanced detection solutions;
  • тщательный анализ execution logs;
  • контроль непроверенных commits в code repositories;
  • наблюдение за аномальной активностью со стороны GitHub и cloud providers;
  • проверка индикаторов компрометации в developer environments.

Эксперты считают, что для организаций в секторе crypto industry эта кампания представляет значительную угрозу: ее целью являются не только учетные данные, но и доверие внутри команд, а также целостность программной цепочки поставок.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: