IRCNF
Security

Un nouvel acteur malveillant pille les sociétés crypto via de faux recruteurs LinkedIn et des pipelines CI/CD empoisonnés

The Hacker News
Partager:
Un nouvel acteur malveillant pille les sociétés crypto via de faux recruteurs LinkedIn et des pipelines CI/CD empoisonnés

Un acteur malveillant jusqu'alors inconnu cible systématiquement les organisations de cryptomonnaies depuis au moins mi-2025, en implantant un malware macOS personnalisé via de faux profils de recruteurs LinkedIn et en l'utilisant pour se déplacer latéralement dans les pipelines CI/CD, dérober les identifiants de portefeuilles crypto, et dans au moins un cas exécuter une attaque sur la chaîne d'approvisionnement. La société de sécurité cloud Wiz Research, propriété de Google, a révélé la campagne aujourd'hui, suivant le groupe sous le nom JINX-0164.

La chaîne d'attaque commence par un profil LinkedIn crédible se faisant passer pour un recruteur. La cible est invitée à un entretien virtuel via un lien de téléconférence qui semble légitime — mais le domaine est faux, conçu pour imiter un vrai logiciel de réunion. Lorsque l'appel "ne se charge pas", la victime reçoit l'instruction de télécharger un correctif. Ce correctif est AUDIOFIX, un infostealer et un cheval de Troie d'accès distant basé sur Python qui se déguise en pilote audio système macOS nommé coreaudiod et est sauvegardé sur le disque sous le nom ChromeUpdater.

Ce que AUDIOFIX extrait

Une fois installé, AUDIOFIX récolte un ensemble anormalement large d'identifiants : mots de passe stockés dans des gestionnaires de mots de passe, magasins d'identifiants de navigateur web, fichiers du trousseau iCloud, identifiants administrateur locaux, clés SSH et fichiers de configuration, historique du shell, adresses de portefeuilles de cryptomonnaies et données d'extensions de navigateur, ainsi que des jetons de session actifs de Discord, Slack et Telegram. Le malware prend en charge la reconnaissance manuelle, l'exécution arbitraire de commandes shell, la suppression de fichiers et la récupération de payloads depuis l'infrastructure contrôlée par l'attaquant — offrant à JINX-0164 un accès distant persistant en plus du vol d'identifiants initial.

Wiz note que le payload est conscient de l'architecture, compilé à la fois pour les Mac Intel et Apple Silicon, et est livré via un faux domaine de pilotes (apple.driver-store[.]com) utilisant un script bash qui gère l'installation.

CI/CD comme cible de second niveau

La caractéristique distinctive de JINX-0164 par rapport aux malwares crypto plus simples est son accent sur le mouvement latéral vers l'infrastructure de développement. Après avoir compromis l'ordinateur portable d'un employé, le groupe utilise AUDIOFIX pour pivoter vers les systèmes internes de distribution de code, injectant le payload du malware dans les dépôts de code source. L'objectif est d'atteindre les machines d'autres développeurs et, finalement, de compromettre le code qui gère les transactions de cryptomonnaies — transformant une simple victime de phishing en une attaque sur la chaîne d'approvisionnement affectant tous les utilisateurs d'un projet.

Dans un vecteur distinct, le groupe a également distribué MiniRAT, une backdoor basée sur Go, via une version compromise de @velora-dex/sdk, un package npm DeFi légitime utilisé pour les échanges de jetons sur l'échange décentralisé VeloraDEX. Le package empoisonné téléchargeait un script shell depuis un serveur distant qui délivrait le binaire macOS via une persistance launchctl. SafeDep et StepSecurity ont documenté cette campagne spécifique le mois dernier.

Empreintes nord-coréennes

Les chercheurs de Wiz notent que plusieurs aspects de la campagne chevauchent des clusters de menace nord-coréens connus, notamment BlueNoroff. Ceux-ci incluent l'utilisation d'Astrill VPN pendant les opérations, un accent constant sur les entreprises de cryptomonnaies et les développeurs, et la technique d'ingénierie sociale par recrutement qui est devenue une signature des groupes liés à la RPDC ces dernières années. Wiz s'abstient d'une attribution définitive mais évalue l'activité comme motivée financièrement et suffisamment sophistiquée pour soutenir des intrusions en plusieurs étapes.

Le schéma est cohérent avec une stratégie nord-coréenne plus large de ciblage de l'infrastructure crypto : là où les groupes de ransomware exigent généralement un paiement après avoir compromis une victime, JINX-0164 vise à compromettre la capacité de la victime à déplacer des fonds du tout — soit en volant directement les identifiants de portefeuille, soit en insérant du code malveillant dans les applications qui gèrent les transactions crypto.

Ce que les équipes crypto et développeurs doivent surveiller

La divulgation de Wiz inclut des indicateurs de compromission. Les organisations doivent traiter les sollicitations non sollicitées de recruteurs LinkedIn suivies de demandes d'appel vidéo — en particulier celles impliquant des erreurs techniques inexpliquées nécessitant un téléchargement — comme des interactions à haut risque. AUDIOFIX utilise une persistance launchctl, donc les outils de sécurité macOS qui surveillent l'enregistrement des démons de lancement peuvent le détecter. Le motif de domaine faux (apple.driver-store[.]com et similaire) doit être ajouté aux listes de blocage DNS.

Pour les équipes de développement, l'angle CI/CD est la préoccupation la plus sérieuse. Si un développeur dans une organisation ayant accès aux pipelines de construction est compromis, le rayon d'explosion en aval s'étend à tous les utilisateurs du logiciel affecté. La signature de code et les builds reproductibles sont des atténuations partielles ; la surveillance comportementale en runtime des jobs CI/CD est plus efficace pour détecter les mouvements latéraux post-compromission avant qu'une version empoisonnée ne soit publiée.

cybersecurityci-cdsupply-chainCryptocurrencymacos-malwarenorth-korea

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Partager: