یک تهدید جدید با استفاده از لینکدین جعلی و CI/CD مسموم به سراغ شرکتهای کریپتو میآید
یک تهدید ناشناخته از اواسط ۲۰۲۵ به صورت سیستماتیک به سازمانهای کریپتو حمله میکند. این گروه با پروفایلهای جعلی لینکدین بدافزار macOS نصب میکند و از آن برای حرکت جانبی به CI/CD pipeline دزدیدن رمز کیف پولها و حتی یک حمله زنجیره تامین استفاده میکند. Wiz Research که زیرمجموعه امنیت ابری گوگل است امروز این کمپین را با نام JINX-0164 فاش کرد.
حملات با یک پروفایل لینکدین معتبر به نظر میرسد. هدف به یک مصاحبه مجازی دعوت میشود و لینک آن به ظاهر یک نرمافزار کنفرانس واقعی است اما دامنه جعلی است. وقتی تماس بارگذاری نمیشود، از قربانی خواسته میشود یک فایل دانلود کند. این فایل AUDIOFIX است؛ یک infostealer و remote access trojan مبتنی بر Python که خود را به عنوان درایور صوتی macOS به نام coreaudiod جا میزند و روی دیسک با نام ChromeUpdater ذخیره میشود.
AUDIOFIX چه اطلاعاتی میدزدد
پس از نصب، AUDIOFIX اطلاعات گستردهای را جمع میکند: رمزهای ذخیره شده در password manager، مرورگرها، فایلهای iCloud Keychain، رمزهای admin محلی، کلیدها و تنظیمات SSH، تاریخچه شل، آدرس کیف پول کریپتو و دادههای اکستنشن مرورگر و توکنهای فعال session از Discord، Slack و Telegram. این بدافزار قابلیت شناسایی دستی، اجرای دستورات shell دلخواه، حذف فایل و دریافت payload از زیرساخت مهاجم را دارد. این یعنی JINX-0164 دسترسی از راه دور دائمی علاوه بر دزدی اولیه رمزها دارد.
Wiz میگوید payload معماریآگاه است و برای هر دو نوع Intel و Apple Silicon کامپایل شده و از طریق یک دامنه جعلی درایور (apple.driver-store[.]com) و با یک bash script نصب میشود.
CI/CD هدف مرحله دوم
نکته متمایز JINX-0164 نسبت به بدافزارهای سادهتر کریپتو، تمرکز بر حرکت جانبی به زیرساخت توسعه است. بعد از نفوذ به لپتاپ یک کارمند، گروه از AUDIOFIX برای حرکت به سمت سیستمهای توزیع کد داخلی استفاده میکند و payload را در مخازن کد تزریق میکند. هدف آلوده کردن ماشینهای دیگر توسعهدهندگان و در نهایت نفوذ به کدی است که تراکنشهای کریپتو را مدیریت میکند. یک قربانی فیشینگ میتواند به یک حمله زنجیره تامین تبدیل شود که همه کاربران یک پروژه را تحت تاثیر قرار دهد.
در یک حمله جداگانه، این گروه MiniRAT را هم توزیع کرده است؛ یک backdoor نوشته شده با Go از طریق یک نسخه آلوده از @velora-dex/sdk، یک npm package قانونی DeFi برای token swap در صرافی غیرمتمرکز VeloraDEX. این package آلوده یک shell script از یک سرور از راه دور دانلود میکرد که باینری macOS را با launchctl پایدار میکرد. SafeDep و StepSecurity این کمپین را ماه قبل مستند کردهاند.
ردپای کره شمالی
محققان Wiz میگویند چند جنبه از این کمپین با گروههای شناخته شده کره شمالی به ویژه BlueNoroff همپوشانی دارد. از جمله استفاده از VPN Astrill، تمرکز بر شرکتها و توسعهدهندگان کریپتو و تکنیک مهندسی اجتماعی با جذب از طریق لینکدین که به امضای گروههای وابسته به کره شمالی تبدیل شده است. Wiz انتساب قطعی نمیکند اما میگوید فعالیت مالی است و از نظر عملیاتی برای حملات چندمرحلهای پیچیدگی کافی دارد.
این الگو با استراتژی کلی کره شمالی برای هدف قرار دادن زیرساخت کریپتو همخوانی دارد: جایی که گروههای باجافزاری معمولاً بعد از نفوذ درخواست باج میکنند، JINX-0164 به دنبال مختل کردن توانایی قربانی برای جابجایی پول است یا با دزدیدن مستقیم رمز کیف پول یا با تزریق کد مخرب در برنامههایی که تراکنشهای کریپتو را مدیریت میکنند.
چه نکاتی باید تیمهای کریپتو و توسعه رعایت کنند
Wiz گزارش خود را شامل نشانگرهای نفوذ کرده است. سازمانها باید تماسهای لینکدین ناخواسته از طرف استخدامکننده و به دنبال آن درخواست تماس تصویری همراه با خطاهای فنی غیرقابل توضیح که نیاز به دانلود دارند را خطرناک بدانند. AUDIOFIX از launchctl persistence استفاده میکند بنابراین ابزارهای امنیتی macOS که ثبت launch daemon را نظارت میکنند میتوانند آن را تشخیص دهند. دامنههای جعلی مثل apple.driver-store[.]com باید به DNS block list اضافه شوند.
برای تیمهای توسعه، زاویه CI/CD جدیتر است. اگر هر توسعهدهندهای با دسترسی به build pipeline آلوده شود، دامنه اثر به همه کاربران نرمافزار میرسد. امضای کد و builds بازتولیدپذیر کاهش میدهند اما نظارت رفتاری runtime روی CI/CD jobs مؤثرتر است تا حرکت جانبی بعد از نفوذ قبل از انتشار آلوده گرفته شود.
Originally reported by The Hacker News. Read the original article for additional details.
View original source