IRCNF
Security

Novo grupo de ameaças ataca empresas de cripto usando falsos recrutadores no LinkedIn e pipelines de CI/CD comprometidos

The Hacker News
Compartilhar:
Novo grupo de ameaças ataca empresas de cripto usando falsos recrutadores no LinkedIn e pipelines de CI/CD comprometidos

Um ator de ameaças até então desconhecido tem atacado sistematicamente organizações de criptomoedas desde pelo menos meados de 2025, implantando malware macOS personalizado por meio de perfis falsos de recrutadores no LinkedIn e utilizando-o para se mover lateralmente para pipelines de CI/CD, roubar credenciais de carteiras de cripto e, em pelo menos um caso, executar um ataque à cadeia de suprimentos. A Wiz Research, empresa de segurança em nuvem do Google, divulgou a campanha hoje, rastreando o grupo sob o nome JINX-0164.

A cadeia de ataque começa com um perfil do LinkedIn convincente, que se passa por recrutador. O alvo é convidado para uma entrevista virtual por meio de um link de teleconferência que parece legítimo — mas o domínio é falso, projetado para imitar um software de reunião real. Quando a chamada "não carrega", a vítima recebe instruções para baixar uma correção. Essa correção é o AUDIOFIX, um infostealer e trojan de acesso remoto baseado em Python que se disfarça como um driver de áudio do sistema macOS chamado coreaudiod e é salvo no disco como ChromeUpdater.

O que o AUDIOFIX captura

Uma vez instalado, o AUDIOFIX coleta um conjunto excepcionalmente amplo de credenciais: senhas armazenadas em gerenciadores de senhas, arquivos de credenciais de navegadores web, arquivos do iCloud Keychain, credenciais de administrador local, chaves SSH e arquivos de configuração, histórico de shell, endereços de carteiras de criptomoedas e dados de extensões de navegador, além de tokens de sessão ativos do Discord, Slack e Telegram. O malware suporta reconhecimento manual, execução arbitrária de comandos shell, exclusão de arquivos e recuperação de payloads de infraestrutura controlada pelos atacantes — concedendo ao JINX-0164 acesso remoto persistente junto com o roubo inicial de credenciais.

A Wiz observa que o payload é ciente da arquitetura, compilado para Macs com processadores Intel e Apple Silicon, e é entregue por meio de um domínio falso de loja de drivers (apple.driver-store[.]com) usando um script bash que cuida da instalação.

CI/CD como alvo de segundo estágio

A característica distintiva do JINX-0164 em comparação com malwares mais simples voltados a criptomoedas é seu foco em movimento lateral para infraestrutura de desenvolvimento. Após comprometer o laptop de um funcionário, o grupo usa o AUDIOFIX para pivotar para sistemas internos de distribuição de código, injetando o payload do malware em repositórios de código-fonte. O objetivo é alcançar as máquinas de outros desenvolvedores e, em última instância, comprometer o código que lida com transações de criptomoedas — transformando uma única vítima de phishing em um ataque à cadeia de suprimentos que afeta todos os usuários de um projeto.

Em um vetor separado, o grupo também distribuiu o MiniRAT, um backdoor baseado em Go, por meio de uma versão comprometida do @velora-dex/sdk, um pacote npm legítimo de DeFi usado para swaps de tokens na exchange descentralizada VeloraDEX. O pacote envenenado baixava um script shell de um servidor remoto que entregava o binário macOS por meio de persistência via launchctl. A SafeDep e a StepSecurity documentaram essa campanha específica no mês passado.

Indícios norte-coreanos

Pesquisadores da Wiz observam que vários aspectos da campanha se sobrepõem a clusters de ameaças norte-coreanos conhecidos, especialmente o BlueNoroff. Isso inclui o uso da VPN Astrill durante as operações, um foco consistente em empresas de criptomoedas e desenvolvedores, e a técnica de engenharia social com isca de recrutamento que se tornou uma marca registrada de grupos ligados à Coreia do Norte nos últimos anos. A Wiz não faz uma atribuição definitiva, mas avalia a atividade como financeiramente motivada e operacionalmente sofisticada o suficiente para sustentar invasões em vários estágios.

O padrão é consistente com uma estratégia norte-coreana mais ampla de atingir infraestruturas de criptomoedas: enquanto grupos de ransomware geralmente exigem pagamento após comprometer uma vítima, o JINX-0164 visa comprometer a capacidade da vítima de mover fundos — seja roubando credenciais de carteiras diretamente ou inserindo código malicioso nos aplicativos que lidam com transações de cripto.

O que equipes de cripto e desenvolvedores devem observar

A divulgação da Wiz inclui indicadores de comprometimento. As organizações devem tratar contatos não solicitados de recrutadores no LinkedIn seguidos de solicitações de chamada de vídeo — especialmente aquelas que envolvem erros técnicos inexplicáveis que exigem download — como interações de alto risco. O AUDIOFIX usa persistência via launchctl, portanto, ferramentas de segurança do macOS que monitoram o registro de daemons de inicialização podem detectá-lo. O padrão de domínios falsos (apple.driver-store[.]com e similares) deve ser adicionado a listas de bloqueio de DNS.

Para equipes de desenvolvimento, o ângulo de CI/CD é a preocupação mais séria. Se qualquer desenvolvedor em uma organização com acesso a pipelines de compilação for comprometido, o raio de explosão downstream se estende a todos os usuários do software afetado. Assinatura de código e compilações reproduzíveis são mitigações parciais; o monitoramento comportamental em tempo de execução de jobs de CI/CD é mais eficaz para detectar movimento lateral pós-comprometimento antes que uma versão envenenada seja lançada.

cybersecurityci-cdsupply-chainCryptocurrencymacos-malwarenorth-korea

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Compartilhar: