Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) Acteur de menace JINX-0164

Acteur de menace JINX-0164

Par Mezo en Menace persistante avancée (APT), Logiciels malveillants, Logiciels malveillants mobiles
Se traduisent par :

Un acteur malveillant jusqu'alors inconnu, identifié sous le nom de JINX-0164, a orchestré une cyberattaque ciblée contre des organisations de cryptomonnaies, utilisant l'ingénierie sociale à des fins de recrutement et un logiciel malveillant macOS conçu sur mesure pour dérober des actifs numériques. Actif depuis au moins mi-2025, ce groupe, motivé par le gain financier, s'est principalement concentré sur les développeurs et, lors d'au moins un incident confirmé, a compromis une chaîne d'approvisionnement logicielle.

Cette campagne illustre une combinaison sophistiquée de techniques de recrutement trompeuses, de déploiement de logiciels malveillants et d'infiltration profonde des environnements CI/CD. En compromettant les postes de travail des employés, les attaquants ont réussi à s'infiltrer latéralement dans l'infrastructure de développement et les systèmes de distribution de code, augmentant considérablement la portée et l'impact des intrusions.

Les arnaques au recrutement deviennent le point d’entrée

JINX-0164 repose sur la persuasion de profils LinkedIn pour entrer en contact avec des développeurs et des employés ciblés travaillant dans des organisations liées aux cryptomonnaies. Les victimes sont invitées à participer à des réunions virtuelles hébergées sur des domaines frauduleux imitant des plateformes de visioconférence légitimes.

Lors de la fausse procédure de configuration de réunion, les cibles sont invitées à télécharger ce qui semble être un client de réunion ou un correctif technique. En réalité, le fichier téléchargé déclenche la chaîne d'infection en récupérant un cheval de Troie d'accès à distance et voleur d'informations macOS basé sur Python, connu sous le nom d'AUDIOFIX, depuis un domaine de distribution de pilotes usurpé, « apple.driver-store.com ».

L'infection est facilitée par un script Bash capable d'identifier l'architecture système de la victime, permettant ainsi au logiciel malveillant de fonctionner sans problème sur les appareils macOS équipés de processeurs Intel et Apple Silicon. La charge utile se dissimule sous l'apparence d'un pilote audio système nommé « coreaudiod », est stockée localement sous le nom « ChromeUpdater » et est lancée via les mécanismes launchctl de macOS pour assurer sa persistance.

AUDIOFIX permet une compromission profonde du système

Une fois déployé, AUDIOFIX effectue des opérations de vol d'identifiants et de reconnaissance à grande échelle, tout en facilitant les déplacements latéraux au sein de l'infrastructure interne. Les chercheurs ont observé que le logiciel malveillant était utilisé pour injecter des charges utiles malveillantes dans les systèmes de développement et modifier le code source afin de compromettre d'autres terminaux et de récupérer les identifiants de portefeuilles de cryptomonnaies.

Ce logiciel malveillant est capable de voler un large éventail d'informations sensibles, notamment :

  • Identifiants du gestionnaire de mots de passe, données de navigation, fichiers du Trousseau iCloud, clés SSH, identifiants d'administrateur, historique de la console et fichiers de configuration
  • Adresses de portefeuilles de cryptomonnaies, données des extensions de navigateur liées aux services de cryptomonnaies et sessions actives sur Discord, Slack et Telegram

Au-delà du vol d'informations, AUDIOFIX prend également en charge l'exécution de commandes à distance, la suppression de fichiers, la livraison de charges utiles, les activités de reconnaissance et l'exfiltration de données à partir de systèmes infectés.

MiniRAT étend la menace par le biais d’abus de la chaîne d’approvisionnement

Un autre élément majeur de l'opération est MiniRAT, une porte dérobée basée sur Go et liée à un package npm compromis nommé '@velora-dex/sdk'. Ce package était associé à une boîte à outils légitime de finance décentralisée utilisée pour les échanges de jetons, le trading delta et les ordres à cours limité sur la plateforme VeloraDEX.

La version malveillante du package récupérait un script shell depuis un serveur distant, déployant ainsi un binaire MiniRAT spécifique à macOS. Une fois installé, le malware permettait aux attaquants de téléverser des fichiers, d'exécuter des commandes shell arbitraires et de télécharger des charges utiles supplémentaires depuis une infrastructure qu'ils contrôlaient.

Le groupe JINX-0164 a réutilisé à plusieurs reprises des techniques d'ingénierie sociale, notamment de fausses offres d'emploi et de faux problèmes techniques incitant les victimes à installer des correctifs logiciels frauduleux. Cette méthodologie constante souligne l'importance que le groupe accorde à la manipulation humaine comme principal vecteur d'intrusion.

Liens possibles avec les cyberopérations nord-coréennes

Plusieurs caractéristiques de cette campagne rappellent des activités précédemment associées à des groupes de cybermenaces nord-coréens tels que BlueNoroff, Contagious Interview et UNC1069. Les chercheurs ont noté des similitudes dans les modes de ciblage, les domaines usurpés et l'utilisation de services VPN tels qu'Astrill VPN.

Malgré ces recoupements, les enquêteurs n'ont identifié aucun lien infrastructurel confirmé reliant directement JINX-0164 à des opérations commanditées par l'État nord-coréen. Les éléments actuels suggèrent des similitudes opérationnelles plutôt qu'une attribution définitive.

Tendance

Arnaque par e-mail à la mise à niveau du service de...

Hameçonnage, Courrier indésirable
Les courriels inattendus exigeant une action immédiate doivent toujours être traités avec prudence. Les cybercriminels dissimulent régulièrement des campagnes d'hameçonnage sous forme d'alertes de sécurité ou de notifications de service afin de dérober des informations sensibles. Les courriels intitulés « Mise à niveau du service de messagerie » font partie de cette escroquerie et ne...

Le plus regardé

Chargement...