macOS Kullanıcıları Tehlikede: Yeni Tehdit Aktörü Jinx-0164 Kripto Para Geliştiricilerini Hedef Alıyor Yazılım

macOS Kullanıcıları Tehlikede: Yeni Tehdit Aktörü Jinx-0164 Kripto Para Geliştiricilerini Hedef Alıyor

Jinx-0164 adlı yeni tehdit aktörü, macOS kullanıcılarını hedef alan Audiofix kötü amaçlı yazılımıyla kripto para geliştiricilerine saldırıyor.

Siber güvenlik araştırmacıları, daha önce rapor edilmemiş bir tehdit aktörünün kripto para şirketlerini hedef aldığını tespit etti. Wiz şirketinin analizine göre, Jinx-0164 olarak izlenen bu finansal motivasyonlu aktör, macOS odaklı özel bir kötü amaçlı yazılım kullanıyor. Aktörün 2025 ortalarından beri aktif olduğu ve Kuzey Koreli gruplarla benzer teknikler kullandığı ancak altyapı örtüşmesi olmadığı belirtiliyor.

Saldırılar genellikle LinkedIn'de başlıyor. Saldırgan, güvenilir bir profil oluşturarak iş bağlantısı veya işe alımcı gibi davranıyor. Kurban, Microsoft Teams benzeri bir sahte alan adı üzerinden sanal toplantıya davet ediliyor. Toplantıya katılım sağlandığında sahte bir teknik arıza oluşturuluyor ve 'düzeltme' adı altında Audiofix adlı kötü amaçlı yazılım yükleniyor. Audiofix, Python tabanlı bir bilgi çalma ve uzaktan erişim aracı olup Intel ve Apple Silicon cihazlarda çalışıyor.

Audiofix, Keychain içeriği, tarayıcı kimlik bilgileri, SSH anahtarları, bulut sağlayıcı anahtarları ve 51 kripto para cüzdan eklentisinden veri topluyor. Ayrıca Discord, Slack ve Telegram oturumlarını ele geçiriyor ve panodaki cüzdan adreslerini izliyor. Jinx-0164, çalınan GitHub token'larını kullanarak kurbanın geliştirme altyapısına sızıyor ve Audiofix'i dahili depolara enjekte ediyor. Bu sayede, diğer geliştiricilerin makineleri de enfekte oluyor.

Grup, doğrudan saldırıların ötesine geçerek npm paketi @velora-dex/sdk'nın 4.9.1 sürümüne MINIRAT adlı ikinci bir macOS arka kapısı ekledi. Wiz, savunmacıları belirtilen göstergeleri izlemeye, VPN kullanımını denetlemeye ve CI/CD iş akışlarından sır sızmasına karşı uyarıyor. Ayrıca GitHub IP günlüğü gibi varsayılan olarak kapalı olan günlüklerin etkinleştirilmesi ve doğrulanmamış commit'lerin şüpheli görülmesi öneriliyor.

Paylaş: