IRCNF
Security

Un nuevo actor de amenazas saquea empresas de cripto mediante reclutadores falsos de LinkedIn y pipelines CI/CD envenenados

The Hacker News
Compartir:
Un nuevo actor de amenazas saquea empresas de cripto mediante reclutadores falsos de LinkedIn y pipelines CI/CD envenenados

Un actor de amenazas previamente desconocido ha estado atacando sistemáticamente a organizaciones de criptomonedas desde al menos mediados de 2025, instalando malware personalizado para macOS a través de perfiles falsos de reclutadores de LinkedIn y utilizándolo para moverse lateralmente hacia pipelines CI/CD, robar credenciales de carteras de criptomonedas y, en al menos un caso, ejecutar un ataque a la cadena de suministro. Wiz Research, firma de seguridad en la nube propiedad de Google, ha divulgado hoy la campaña, rastreando al grupo bajo el nombre JINX-0164.

La cadena de ataque comienza con un perfil de LinkedIn de apariencia creíble que se hace pasar por un reclutador. Se invita al objetivo a una entrevista virtual a través de un enlace de teleconferencia que parece legítimo, pero el dominio es falso, diseñado para imitar un software de reuniones real. Cuando la llamada «no carga», se le indica a la víctima que descargue una solución. Esa solución es AUDIOFIX, un infostealer basado en Python y troyano de acceso remoto que se disfraza como controlador de audio del sistema macOS llamado coreaudiod y se guarda en disco como ChromeUpdater.

Lo que roba AUDIOFIX

Una vez instalado, AUDIOFIX recolecta un conjunto inusualmente amplio de credenciales: contraseñas almacenadas en gestores de contraseñas, almacenes de credenciales de navegadores web, archivos de iCloud Keychain, credenciales de administrador local, claves SSH y archivos de configuración, historial de shell, direcciones de carteras de criptomonedas y datos de extensiones de navegador, y tokens de sesión activos de Discord, Slack y Telegram. El malware admite reconocimiento manual, ejecución de comandos arbitrarios de shell, eliminación de archivos y recuperación de payloads desde infraestructura controlada por el atacante, lo que otorga a JINX-0164 acceso remoto persistente junto con el robo inicial de credenciales.

Wiz señala que el payload es consciente de la arquitectura, compilado para Macs con Intel y Apple Silicon, y se entrega a través de un dominio falso de controladores (apple.driver-store[.]com) mediante un script bash que maneja la instalación.

CI/CD como objetivo secundario

La característica distintiva de JINX-0164 en comparación con malware más simple dirigido a criptomonedas es su enfoque en el movimiento lateral hacia infraestructura de desarrollo. Después de comprometer la laptop de un empleado, el grupo usa AUDIOFIX para pivotear hacia sistemas internos de distribución de código, inyectando el payload del malware en repositorios de código fuente. El objetivo es alcanzar las máquinas de otros desarrolladores y, en última instancia, comprometer el código que maneja transacciones de criptomonedas, convirtiendo una sola víctima de phishing en un ataque a la cadena de suministro que afecta a todos los usuarios de un proyecto.

En un vector separado, el grupo también ha distribuido MiniRAT, un backdoor basado en Go, a través de una versión comprometida de @velora-dex/sdk, un paquete legítimo de npm de DeFi utilizado para intercambios de tokens en el exchange descentralizado VeloraDEX. El paquete envenenado descargaba un script shell desde un servidor remoto que entregaba el binario de macOS mediante persistencia con launchctl. SafeDep y StepSecurity documentaron esa campaña específica el mes pasado.

Huellas norcoreanas

Los investigadores de Wiz señalan que varios aspectos de la campaña se superponen con grupos de amenazas norcoreanos conocidos, particularmente BlueNoroff. Estos incluyen el uso de Astrill VPN durante las operaciones, un enfoque constante en empresas de criptomonedas y desarrolladores, y la técnica de ingeniería social con señuelos de reclutamiento que se ha convertido en una firma de grupos vinculados a la RPDC en los últimos años. Wiz se abstiene de una atribución definitiva pero evalúa la actividad como motivada financieramente y lo suficientemente sofisticada operativamente para sostener intrusiones de múltiples etapas.

El patrón es consistente con una estrategia norcoreana más amplia de atacar infraestructura de criptomonedas: donde los grupos de ransomware típicamente exigen pago después de comprometer a una víctima, JINX-0164 apunta a comprometer la capacidad de la víctima para mover fondos en absoluto, ya sea robando credenciales de cartera directamente o insertando código malicioso en las aplicaciones que manejan transacciones de cripto.

Qué deben vigilar los equipos de cripto y desarrollo

La divulgación de Wiz incluye indicadores de compromiso. Las organizaciones deben tratar el contacto no solicitado de reclutadores de LinkedIn seguido de solicitudes de videollamada, particularmente aquellas que involucren errores técnicos inexplicables que requieran una descarga, como interacciones de alto riesgo. AUDIOFIX utiliza persistencia con launchctl, por lo que las herramientas de seguridad de macOS que monitorean el registro de daemons de launchd pueden detectarlo. El patrón de dominios falsos (apple.driver-store[.]com y similares) debe agregarse a listas de bloqueo de DNS.

Para los equipos de desarrollo, el ángulo de CI/CD es la preocupación más seria. Si cualquier desarrollador en una organización con acceso a pipelines de compilación se ve comprometido, el radio de explosión aguas abajo se extiende a todos los usuarios del software afectado. La firma de código y las compilaciones reproducibles son mitigaciones parciales; el monitoreo de comportamiento en tiempo de ejecución de los trabajos de CI/CD es más efectivo para detectar el movimiento lateral posterior al compromiso antes de que se envíe una versión envenenada.

cybersecurityci-cdsupply-chainCryptocurrencymacos-malwarenorth-korea

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Compartir: