Một chiến dịch mới do một tác nhân đe dọa chưa từng được ghi nhận trước đây thực hiện đã nhắm mục tiêu vào các tổ chức tiền điện tử. Mục tiêu của chúng là thực hiện các vụ trộm tài sản kỹ thuật số bằng cách sử dụng kỹ thuật xã hội (social engineering) theo chủ đề tuyển dụng và mã độc macOS tùy chỉnh.
"Các chiến dịch này tận dụng các kỹ thuật xã hội tinh vi, mã độc macOS tùy chỉnh và nhắm mục tiêu sâu vào hạ tầng CI/CD," các nhà nghiên cứu của Wiz gồm Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dan và Benjamin Read cho biết. "Các phương thức được sử dụng cho phép tác nhân đe dọa di chuyển theo chiều ngang (laterally) từ các máy tính xách tay của nhân viên bị xâm nhập sang các hệ thống phân phối mã và hạ tầng phát triển."
Công ty an ninh mạng đám mây thuộc sở hữu của Google đang theo dõi hoạt động này dưới tên gọi JINX-0164. Tác nhân đe dọa này được đánh giá là đã hoạt động ít nhất từ giữa năm 2025, với động cơ trục lợi tài chính, nhắm vào các nhà phát triển thông qua các kỹ thuật xã hội liên quan đến tuyển dụng để đánh cắp tiền điện tử. Trong ít nhất một trường hợp, đối thủ này được cho là đã thực hiện một cuộc tấn công chuỗi cung ứng (supply chain attack).
Phương thức tấn công qua LinkedIn và các cuộc họp ảo giả mạo
Trong chuỗi tấn công được Wiz ghi nhận, JINX-0164 đã lợi dụng các hồ sơ LinkedIn có độ tin cậy cao để tiếp cận nạn nhân và đề nghị một cuộc họp trực tuyến. Lời mời họp được thiết kế để dẫn dụ mục tiêu đến một tên miền độc hại giả mạo là nhà cung cấp dịch vụ hội nghị truyền hình.
Từ đó, nạn nhân bị lừa tải xuống và cài đặt chương trình. Hành động này sẽ kích hoạt việc tải về một công cụ đánh cắp thông tin (infostealer) trên macOS viết bằng Python và một trojan truy cập từ xa (RAT) có tên mã là AUDIOFIX, thông qua một đoạn mã bash script được lưu trữ trên một tên miền giả mạo kho lưu trữ driver của Apple ("apple.driver-store[.]com").
"Đoạn mã [bash] đã tải xuống một payload tương thích với kiến trúc của cả hệ thống Intel và Apple Silicon từ cùng một tên miền. Payload này ngụy trang dưới dạng driver âm thanh hệ thống có tên coreaudiod, được lưu dưới tên ChromeUpdater và thực thi thông qua launchctl," Wiz cho biết.
AUDIOFIX: Mã độc macOS tinh vi và khả năng đánh cắp dữ liệu
Mã độc Python sau đó được sử dụng để đánh cắp dữ liệu nhạy cảm từ thiết bị bị xâm nhập, di chuyển sang các hệ thống phân phối mã nội bộ và hạ tầng phát triển bằng cách tiêm payload AUDIOFIX, đồng thời sửa đổi mã nguồn nhằm mục đích xâm nhập các thiết bị khác và đánh cắp thông tin đăng nhập ví tiền điện tử.
Dữ liệu bị thu thập bao gồm thông tin đăng nhập từ các trình quản lý mật khẩu, trình duyệt web và tệp iCloud Keychain; thông tin quản trị viên cục bộ; khóa SSH; tệp cấu hình; tệp lịch sử console; thông tin tiện ích mở rộng trình duyệt ví tiền điện tử; địa chỉ ví tiền điện tử; và các phiên làm việc đang hoạt động của Discord, Slack và Telegram.
Ngoài việc đánh cắp thông tin, AUDIOFIX còn hỗ trợ một số lệnh cho phép trinh sát thủ công, trích xuất dữ liệu, thực thi lệnh shell tùy ý, xóa tệp và tải thêm payload từ máy chủ bên ngoài.
JINX-0164 cũng được quan sát thấy nhắm mục tiêu vào các nhà phát triển phần mềm bằng cách giả danh nhà tuyển dụng, sử dụng cùng một kỹ thuật xã hội: dùng cơ hội việc làm để thiết lập một cuộc họp hiển thị lỗi kỹ thuật giả và hướng dẫn nạn nhân tải xuống một "bản vá" dẫn đến việc cài đặt mã độc.
Sử dụng MiniRAT và nghi vấn liên quan đến Triều Tiên
Một thành phần quan trọng khác trong kho vũ khí của tác nhân đe dọa này là MiniRAT, một backdoor viết bằng Go từng được phân phối qua phiên bản bị xâm nhập của gói npm có tên @velora-dex/sdk - một bộ công cụ DeFi hợp lệ được sử dụng để hoán đổi token và giao dịch trên sàn phi tập trung VeloraDEX.
Theo chi tiết được SafeDep và StepSecurity chia sẻ vào tháng trước, phiên bản độc hại đã tải xuống một đoạn mã shell từ máy chủ từ xa, sau đó phân phối một tệp nhị phân dành riêng cho macOS có tên MiniRAT. Mã độc này có khả năng tải tệp lên, chạy lệnh shell tùy ý và tải thêm các công cụ khác từ các tên miền do kẻ tấn công kiểm soát.
Cần lưu ý rằng một số khía cạnh của chiến dịch này, cùng với việc sử dụng các dịch vụ VPN như Astrill VPN và sự tập trung vào tiền điện tử cũng như các nhà phát triển, gợi nhắc đến các phương thức được sử dụng bởi nhiều nhóm đe dọa Triều Tiên như BlueNoroff, Contagious Interview và UNC1069. Tuy nhiên, Wiz cho biết hiện tại không có sự trùng lặp nào về hạ tầng kết nối JINX-0164 với Bình Nhưỡng.
"Tương tự, các loại tên miền giả mạo cũng giống với tên miền được các tác nhân Triều Tiên khác sử dụng; tuy nhiên, hạ tầng của JINX-0164 không có bất kỳ sự trùng lặp nào với các nhóm Triều Tiên đang được theo dõi công khai khác," Wiz kết luận.