MacOS Kullanıcılarına Sahte İş Görüşmesi Tuzağı: Jinx-0164 Kripto Geliştiricileri Hedef Alıyor Siber Güvenlik

MacOS Kullanıcılarına Sahte İş Görüşmesi Tuzağı: Jinx-0164 Kripto Geliştiricileri Hedef Alıyor

Jinx-0164 adlı yeni tehdit aktörü, macOS kullanıcılarına Audiofix ve MINIRAT gibi kötü amaçlı yazılımlar bulaştırarak kripto para geliştiricilerini he

Siber güvenlik dünyasında yeni bir tehdit aktörü ortaya çıktı: Jinx-0164. Wiz araştırmacıları tarafından tespit edilen bu finansal motivasyonlu grup, özellikle macOS işletim sistemini kullanan kripto para geliştiricilerini hedef alıyor. Saldırganlar, LinkedIn üzerinden sahte işe alım uzmanı kimliğiyle yaklaşarak kurbanları özel hazırlanmış kötü amaçlı yazılımlarla enfekte ediyor. Jinx-0164'ün, Kuzey Kore bağlantılı UNC1069 (Sleet) grubuyla benzer taktikler kullandığı ancak altyapı ve uygulama açısından farklılık gösterdiği belirtiliyor.

Saldırı zinciri genellikle LinkedIn'de başlıyor. Saldırgan, gerçekçi bir profil oluşturarak iş bağlantısı veya işe alım uzmanı gibi davranıyor. Hedefe, Microsoft Teams benzeri bir hizmeti taklit eden sahte bir etki alanı üzerinden sanal toplantı daveti gönderiliyor. Toplantıya katılım sırasında sahte bir teknik arıza mesajı beliriyor ve kullanıcıdan bir "düzeltme" çalıştırması isteniyor. Bu düzeltme aslında Audiofix adlı Python tabanlı bir uzaktan erişim aracı ve bilgi hırsızı olan kötü amaçlı yazılım. Audiofix, sistem ses sürücüsü kılığına girerek hem Intel hem de Apple Silicon tabanlı Mac'lerde çalışabiliyor.

Audiofix kurulduktan sonra, Keychain (Anahtarlık) içeriği, tarayıcı kimlik bilgileri, SSH anahtarları, bulut sağlayıcı anahtarları ve 51 farklı kripto cüzdan eklentisinin verilerini topluyor. Ayrıca Discord, Slack ve Telegram oturumlarını ele geçiriyor ve panoda kopyalanan cüzdan adreslerini izliyor. Bu sayede saldırgan, kurbanın tüm dijital varlıklarına erişim sağlayabiliyor. Wiz raporuna göre, Jinx-0164'ün temel hedefi kripto para varlıklarını çalmak.

Sistem Güvenliği

Ancak Jinx-0164'ün saldırıları bununla sınırlı kalmıyor. Ele geçirilen GitHub token'larını kullanarak kurbanın geliştirme altyapısına sızıyorlar. nord-stream adlı açık kaynaklı bir araçla CI/CD boru hatlarından sırları (secret) çekiyorlar. Ardından Audiofix'i dahili depolara enjekte ederek, işlemleri diğer geliştiricilerin adına gizliyor ve ana dallara (main branch) veya mevcut dallara push'luyorlar. Bu sayede, arkadaşları zehirli depolardan kod derlediğinde onların makineleri de enfekte oluyor. GitHub'ın Vigilant Mode özelliği, doğrulanmamış işlemleri işaretleyerek bu taklidi ortaya çıkarmış ve yayılmayı durdurmuş.

Gelecekte Ne Bekleniyor?

Jinx-0164'ün etkisi doğrudan sızmalarla sınırlı değil. 7 Nisan'da, yaygın kullanılan bir merkeziyetsiz borsa aracı olan @velora-dex/sdk npm paketinin 4.9.1 sürümüne trojanize edilmiş bir kod eklediler. Bu kod, MINIRAT adlı ikinci bir macOS arka kapısını indiriyor. İşe alım temalı bu tuzak, daha önce Slow Pisces gibi gruplar tarafından da kullanılmıştı. Wiz, savunmacıları yayınlanan tehlike göstergelerini (IoC) izlemeye, Mullvad, Astrill ve ExpressVPN gibi beklenmedik VPN kullanımına ve CI/CD iş akışlarından sır sızmasına karşı dikkatli olmaya çağırıyor.

Jinx-0164 saldırılarına karşı korunmak için Wiz, varsayılan olarak kapalı olan günlük kayıtlarının (GitHub IP günlüğü gibi) etkinleştirilmesini ve doğrulanmamış işlemlerin şüpheli olarak değerlendirilmesini öneriyor. Ayrıca, geliştiricilerin LinkedIn'deki şüpheli işe alım tekliflerine karşı tetikte olmaları ve güvenilir olmayan kaynaklardan gelen toplantı davetlerine katılmamaları önem taşıyor. Kripto para firmalarının, özellikle macOS kullanan ekiplerinin, bu tür sofistike saldırılara karşı farkındalık ve güvenlik önlemlerini artırması gerekiyor. Wiz'in raporu, Jinx-0164'ün Kuzey Kore bağlantılı olabileceğine dair kesin kanıt bulunmadığını ancak taktiklerin bu yönde ipuçları verdiğini belirtiyor.

Kaynak: infosecurity-magazine.com

Paylaş: