Yeni Tehdit Aktörü Jinx-0164, macOS'taki Kripto Geliştiricilerini Hedefliyor Siber Güvenlik

Yeni Tehdit Aktörü Jinx-0164, macOS'taki Kripto Geliştiricilerini Hedefliyor

Daha önce bildirilmemiş bir tehdit aktörünün, özel macOS kötü amaçlı yazılımları, sahte işe alım yaklaşımları ve dahili geliştirme kanallarını ele geç...

Daha önce bildirilmemiş bir tehdit aktörünün, özel macOS kötü amaçlı yazılımları, sahte işe alım yaklaşımları ve dahili geliştirme kanallarını ele geçirme yoluyla kripto para birimi firmalarını hedef aldığı gözlemlendi.

Şirketin yeni analizine göre Wiz, faaliyeti şu anda Jinx-0164 olarak takip edilen finansal motivasyonlu bir kümeye bağladı.

En azından 2025'in ortasından beri aktif olan ve neredeyse tamamen macOS'a odaklanan aktör, Sleet olarak da bilinen UNC1069 gibi Kuzey Koreli gruplarla tekniklerini paylaşıyor. Ancak bu teknikleri farklı şekilde uyguluyor ve takip edilen aktörlerle altyapı örtüşmesi göstermiyor. Wiz, bunu devlet destekli herhangi bir tehdit aktörüne bağlama konusunda yetersiz kaldı.

Nasıl Önlem Alınmalı?

Sahte Toplantılar ve Klonlanmış Ses Sürücüsü

Sonuç ve Değerlendirme

İzinsiz girişler genellikle, saldırganın güvenilir bir profil kullanan bir iş bağlantısı veya işe alım görevlisi gibi davrandığı LinkedIn'de başlıyor. Hedef, Microsoft Teams gibi bir hizmetin kimliğine bürünen benzer bir etki alanındaki sanal bir toplantıya davet edilir.

Gelecekte Ne Bekleniyor?

Çağrıya katılmak, sahte bir teknik arızayı tetikler ve kötü amaçlı yazılımı yükleyen bir "düzeltme" çalıştırma istemini tetikler. Python tabanlı bir hırsız ve Audiofix adlı uzaktan erişim aracı olan yük, sistem ses sürücüsü kılığına giriyor ve hem Intel hem de Apple Silicon makinelerinde çalışıyor.

Audiofix, Anahtarlık içeriklerini, tarayıcı kimlik bilgilerini, SSH anahtarlarını, bulut sağlayıcı anahtarlarını ve 51 kripto para birimi cüzdan uzantısından ayrıntıları toplar.

Sistem Güvenliği

Ayrıca Discord, Slack ve Telegram oturumlarını ele geçiriyor ve kopyalanan cüzdan adresleri için panoyu izliyor.

Dizüstü Bilgisayarlardan Kod İşlem Hatlarına

Uzmanların Görüşleri

Jinx-0164, bulut hesaplarına yönelmek yerine, CI/CD işlem hatlarından sırları almak için açık kaynak aracı nord-stream'i kullanarak, toplanan GitHub tokenlerini kurbanın geliştirme altyapısına karşı kullandı.

Daha sonra Audiofix'i dahili depolara enjekte ederek taahhütleri diğer geliştiricilerin adları altında gizledi ve bunları ana veya mevcut şubelere itti.

Meslektaşları zehirli depolardan derleme yaptığında makinelerine de virüs bulaştı ve bu da derleme sürecini bir yayılma kanalına dönüştürdü. Wiz, GitHub'ın doğrulanmamış taahhütleri işaretleyen Vigilant Mode'unun kimliğe bürünmeyi ortaya çıkarmaya ve yayılmayı durdurmaya yardımcı olduğunu söyledi.

Kuzey Koreli gruplar hakkında daha fazlasını okuyun: Bilgisayar Korsanları Kripto Firmalarını Hedef Almak İçin Deepfake Video Görüşmelerini Kullanıyor

Önemli Gelişmeler

Grubun erişim alanı doğrudan müdahalelerin ötesine geçti. 7 Nisan'da, yaygın olarak kullanılan merkezi olmayan bir değişim araç seti olan npm paketi @velora-dex/sdk'nin 4.9.1 sürümünü truva atı haline getirerek MINIRAT adlı ikinci bir macOS arka kapısını getiren kodu ekledi.

Üye toplama temalı cazibenin kendisi de kripto odaklı saldırganlar arasında iyice yerleşmiş durumda ve Slow Pisces gibi grupların daha önceki kampanyalarını hatırlatıyor.

Wiz, savunucuları, yayınlanan güvenlik ihlali göstergelerini, Mullvad, Astrill ve ExpressVPN dahil VPN hizmetlerinin beklenmedik kullanımını ve CI/CD iş akışlarından gizli sızıntıları takip etmeye çağırdı.

Ayrıca GitHub IP günlüğü gibi varsayılan olarak kapalı olan günlüklerin etkinleştirilmesi ve doğrulanmamış kayıtların şüpheli olarak değerlendirilmesi de önerildi.

Görsel kaynak: alexgo.photography / Shutterstock.com

Paylaş: