Інфраструктура розробки криптографічного програмного забезпечення в центрі уваги нового загрозового актора

Резюме

Зломисник з фінансовими мотивами, що відстежується як JINX-0164, націлюється на розробників криптовалют через соціальну інженерію на LinkedIn, шкідливе ПЗ на macOS та компрометацію CI/CD. Група розгортає спеціальний Python RAT, відомий як AUDIOFIX, та бекдор на базі Go під назвою MINIRAT, обидва налаштовані на комунікацію з жорсткокодованими доменами командування та контролю. Після отримання доступу зловмисники викрадають облікові дані хмарних і розробницьких систем, змінюють репозиторії коду та навіть публікують шкідливі пакети npm, щоб розширити доступ та дозволити крадіжку криптовалюти. Кампанія відображає складну загрозу ланцюга поставок, спрямовану на життєвий цикл розробки програмного забезпечення.

Розслідування

Wiz CIRT відстежував вторгнення від початкового зв’язку на LinkedIn через доставку шкідливих посилань, виконання macOS навантажень, крадіжку облікових даних та бічний рух до репозиторіїв вихідного коду. Їх розслідування виявило скрипти-спадники, постійність через launchctl, та використання інструменту nord-stream для ексфільтрації секретних даних. Дослідники також ідентифікували декілька підроблених доменів, вузли виходу VPN та компрометацію ланцюга поставок, що включає пакет npm @velora-dex/sdk . Для підтримки виявлення та полювання на загрози були зібрані шляхи до файлів, хеші, домени та IP-адреси.

Захист

Рекомендовані заходи захисту включають моніторинг систем macOS для виявлення постійності, виявлення підозрілих LaunchAgents та блокування відомих шкідливих доменів і серверів командування й контролю. Організації повинні здійснювати підпис комітів, вмикати режим Vigilant на GitHub та відстежувати неперевірені коміти або незвичайні зміни в CI/CD робочих процесах. Використання VPN має бути обмежене затвердженими постачальниками, а для хмарних облікових записів і платформ розробки необхідно вимагати багатофакторну аутентифікацію. launchctl persistence, detecting suspicious LaunchAgents, and blocking the known malicious domains and command-and-control servers. Organizations should enforce signed commits, enable GitHub Vigilant Mode, and watch for unverified commits or unusual CI/CD workflow changes. VPN use should be limited to approved providers, and MFA should be required for cloud accounts and development platforms.

Реакція

Якщо виявлена ця діяльність, ізолюйте уражену систему macOS негайно, зберіть судові артефакти і анулюйте будь-які компрометовані облікові дані та API-токени. Командам з безпеки слід виконати повний огляд репозиторіїв коду для виявлення шкідливих комітів та видалити будь-які компрометовані пакети npm. Ідентифіковані домени командування й контролю слід заблокувати, а правила файрволу оновити для відмови у трафіку до шкідливих IP-адрес. Відповідні зацікавлені особи повинні бути повідомлені, та варто розглянути можливість обміну розвідувальною інформацією про загрози з надійними партнерами в галузі.