Infrastruttura di Sviluppo Software Crypto Presa di Mira da un Nuovo Attore di Minaccia

Sintesi

Un attore di minaccia motivato finanziariamente, tracciato come JINX-0164, sta prendendo di mira gli sviluppatori di criptovalute attraverso social engineering su LinkedIn, malware per macOS e compromissione CI/CD. Il gruppo distribuisce un RAT Python personalizzato noto come AUDIOFIX e una backdoor basata su Go chiamata MINIRAT, entrambe configurate per comunicare con domini di comando e controllo codificati. Dopo aver ottenuto l’accesso, gli attaccanti rubano credenziali cloud e di sviluppo, manomettono i repository di codice e pubblicano persino pacchetti npm dannosi per espandere l’accesso e consentire il furto di criptovalute. La campagna riflette una minaccia sofisticata alla catena di fornitura mirata al ciclo di vita dello sviluppo software.

Indagine

Wiz CIRT ha seguito l’intrusione dal primo contatto su LinkedIn attraverso la consegna del link dannoso, l’esecuzione di payload su macOS, il furto di credenziali e il movimento laterale nei repository di codice sorgente. La loro indagine ha scoperto script dropper, persistenza tramite launchctl, e l’uso dello strumento nord-stream per l’esfiltrazione segreta. I ricercatori hanno anche identificato più domini spoofati, nodi di uscita VPN, e una compromissione della catena di fornitura che coinvolge il pacchetto npm @velora-dex/sdk . Percorsi di file, hash, domini e indirizzi IP sono stati raccolti per supportare il rilevamento e la caccia alle minacce.

Mitigazione

Le difese raccomandate includono il monitoraggio dei sistemi macOS per la persistenza, il rilevamento di LaunchAgents sospetti e il blocco dei domini dannosi noti e dei server di comando e controllo. Le organizzazioni dovrebbero imporre commit firmati, abilitare la GitHub Vigilant Mode e osservare i commit non verificati o cambiamenti insoliti nei workflow CI/CD. L’uso di VPN dovrebbe essere limitato ai fornitori approvati e l’autenticazione multifattore dovrebbe essere richiesta per gli account cloud e le piattaforme di sviluppo. launchctl persistence, detecting suspicious LaunchAgents, and blocking the known malicious domains and command-and-control servers. Organizations should enforce signed commits, enable GitHub Vigilant Mode, and watch for unverified commits or unusual CI/CD workflow changes. VPN use should be limited to approved providers, and MFA should be required for cloud accounts and development platforms.

Risposta

Se viene rilevata questa attività, isolare immediatamente il sistema macOS interessato, raccogliere artefatti forensi e revocare le credenziali e i token API compromessi. I team di sicurezza dovrebbero eseguire una revisione completa dei repository di codice per commit dannosi e rimuovere eventuali pacchetti npm compromessi. I domini di comando e controllo identificati dovrebbero essere bloccati e le regole del firewall dovrebbero essere aggiornate per negare il traffico agli indirizzi IP dannosi. I soggetti interessati dovrebbero essere informati e dovrebbe essere considerata la condivisione di intelligence sulle minacce con partner fidati del settore.