macOS Kripto Geliştiricilerini Hedef Alan Yeni Tehdit: Jinx-0164 Windows

macOS Kripto Geliştiricilerini Hedef Alan Yeni Tehdit: Jinx-0164

Yeni tehdit aktörü Jinx-0164, macOS kullanıcılarını hedef alan Audiofix kötü amaçlı yazılımı ve sahte işe alım taktikleriyle kripto para firmalarına s

Yeni bir tehdit aktörü olan Jinx-0164, macOS sistemlerini hedef alan özel bir kötü amaçlı yazılım ve sahte işe alım yaklaşımlarıyla kripto para firmalarına saldırıyor. Wiz şirketinin analizine göre, finansal motivasyonlu bu küme, en az 2025 ortasından beri aktif ve neredeyse tamamen macOS odaklı. Kuzey Koreli UNC1069 (Sleet) grubuyla benzer teknikler kullansa da, uygulama farklılıkları ve altyapı örtüşmesi olmaması nedeniyle devlet destekli bir aktörle ilişkilendirilmiyor.

Saldırılar genellikle LinkedIn'de başlıyor. Saldırgan, güvenilir bir iş bağlantısı veya işe alım uzmanı gibi davranarak hedefi Microsoft Teams benzeri bir sahte alana yönlendiriyor. Sanal toplantıya katılım sırasında sahte bir teknik arıza oluşturuluyor ve 'düzeltme' adı altında Audiofix adlı kötü amaçlı yazılım yükleniyor. Python tabanlı bu stealer ve uzaktan erişim aracı, sistem ses sürücüsü gibi görünerek hem Intel hem de Apple Silicon cihazlarda çalışıyor.

Audiofix, Keychain içerikleri, tarayıcı kimlik bilgileri, SSH anahtarları, bulut sağlayıcı anahtarları ve 51 kripto cüzdan eklentisinden veri topluyor. Ayrıca Discord, Slack ve Telegram oturumlarını ele geçirip, kopyalanan cüzdan adreslerini izliyor. Saldırganlar, bulut hesaplarına geçmek yerine GitHub token'larını kullanarak CI/CD boru hatlarından sırları çalıyor ve Audiofix'i iç depolarına enjekte ediyor. Böylece, zehirli depolardan derleme yapan diğer geliştiriciler de enfekte oluyor.

Grup, doğrudan saldırıların ötesine geçerek npm paketi @velora-dex/sdk'nın 4.9.1 sürümünü trojanize etti. Bu paket, merkeziyetsiz borsa araç seti olarak kullanılıyor ve MINIRAT adlı ikinci bir macOS arka kapısı yüklüyor. Wiz, savunmacıları belirtilen göstergeleri, VPN kullanımını (Mullvad, Astrill, ExpressVPN) ve CI/CD iş akışlarından sır sızmasını izlemeye çağırıyor. GitHub IP günlüğü gibi varsayılan olarak kapalı günlüklerin etkinleştirilmesi ve doğrulanmamış commit'lerin şüpheli görülmesi öneriliyor.

Paylaş: