Una nueva campaña, orquestada por un actor de amenazas previamente indocumentado, se dirige a organizaciones criptográficas con el objetivo de facilitar el robo de activos digitales mediante ingeniería social con temática de reclutamiento y malware macOS personalizado.
«Estas campañas utilizaron técnicas avanzadas de ingeniería social, malware personalizado para macOS y una focalización profunda en la infraestructura CI/CD», dijeron los investigadores de Wiz Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dunn y Benjamin Reed. «Las técnicas utilizadas permitieron al atacante moverse lateralmente desde la computadora portátil del empleado comprometido hasta los sistemas de distribución de código y la infraestructura de desarrollo».
La empresa de seguridad en la nube de Google está rastreando esta actividad con el nombre JINX-0164. Este actor de amenazas ha estado activo desde al menos mediados de 2025 y ha sido evaluado para obtener ganancias financieras, apuntando a los desarrolladores a través de temas de reclutamiento y otras técnicas de ingeniería social para desviar criptomonedas. En al menos un caso, se dice que los adversarios llevaron a cabo ataques a la cadena de suministro.
La cadena de ataque documentada por Wiz muestra a JINX-0164 aprovechando perfiles confiables de LinkedIn para acercarse a las víctimas y ofrecer reuniones virtuales. La invitación a la reunión está diseñada para dirigir al objetivo a un dominio fraudulento que se hace pasar por un proveedor de teleconferencias.
A partir de ahí, se engaña a las víctimas para que descarguen e instalen el programa. Esto desencadena la adquisición de un ladrón de información de macOS basado en Python y un troyano de acceso remoto con nombre en código AUDIOFIX utilizando un script bash alojado en un dominio de tienda de controladores falso (‘apple.driver-store(.)com’).
«El script (bash) descargó una carga útil compatible con la arquitectura del mismo dominio que era compatible con los sistemas Intel y Apple Silicon. La carga útil se hizo pasar por un controlador de audio del sistema llamado coreaudiod, se guardó como ChromeUpdater y se ejecutó a través de launchctl», dijo Wiz.
Luego aprovecha el malware Python para robar datos confidenciales de puntos finales comprometidos, moverse lateralmente a sistemas de distribución de código interno e infraestructura de desarrollo mediante la inyección de cargas útiles AUDIOFIX y modificar el código fuente para comprometer otros puntos finales y robar credenciales de billeteras de criptomonedas.
Los datos capturados incluyen credenciales de administradores de contraseñas, navegadores web y archivos de llavero de iCloud. Credenciales de administrador local. Clave SSH. archivo de configuración. Archivo de historial de la consola. Información de la extensión del navegador de criptomonedas. Dirección de billetera de criptomonedas. Sesiones activas de Discord, Slack y Telegram.
Además del robo de información, AUDIOFIX admite varios comandos que permiten el reconocimiento manual, la extracción, la ejecución de comandos de shell arbitrarios, la eliminación de archivos y la recuperación de cargas útiles de servidores externos.
También se ha observado que JINX-0164 apunta a desarrolladores de software haciéndose pasar por reclutadores mientras utiliza las mismas técnicas de ingeniería social. Es decir, aprovechan la oportunidad para programar una reunión en la que muestran un error técnico falso e instruyen a la víctima a descargar una «solución» que conduce a la instalación de malware.
Otro componente clave en el arsenal de un actor de amenazas es el MiniRAT. Esta es una puerta trasera basada en Go que se distribuyó previamente a través de una versión comprometida de un paquete npm llamado @velora-dex/sdk, un conjunto de herramientas DeFi legítimo utilizado para intercambios de tokens, órdenes limitadas y operaciones delta en la plataforma de intercambio descentralizado VeloraDEX.
Según los detalles compartidos por SafeDep y StepSecurity el mes pasado, la versión comprometida descargó un script de shell desde un servidor remoto y luego distribuyó un binario específico de macOS llamado MiniRAT. El malware tiene la capacidad de cargar archivos, ejecutar comandos de shell arbitrarios y obtener cargas útiles y herramientas adicionales de dominios controlados por atacantes.
Es de destacar que algunos aspectos de la campaña, junto con el uso de servicios VPN como Astrill VPN y el enfoque en las criptomonedas y los desarrolladores, recuerdan a los utilizados por múltiples grupos de amenazas norcoreanos como BlueNoroff, Contagious Interview y UNC1069. Sin embargo, Wiz dijo que en esta etapa no hay superposición en la infraestructura que conecta JINX-0164 y Pyongyang.
«De manera similar, si bien los tipos de dominios falsificados son similares a los utilizados por otros actores de amenazas norcoreanos, la infraestructura de JINX-0164 no se superpone con la de otros grupos norcoreanos rastreados públicamente», dijo With.
Source link
