Una nueva campaña orquestada por un actor de amenazas previamente indocumentado se ha dirigido a organizaciones de criptomonedas con el objetivo de facilitar el robo de activos digitales mediante ingeniería social con temática de reclutamiento y malware macOS personalizado.
«Estas campañas aprovecharon sofisticadas técnicas de ingeniería social, malware personalizado para macOS y una focalización profunda en la infraestructura CI/CD», dijeron los investigadores de Wiz Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dan y Benjamin Read. «Los métodos utilizados permitieron al actor de amenazas pasar lateralmente de las computadoras portátiles de los empleados comprometidas a los sistemas de distribución de códigos y la infraestructura de desarrollo».
La empresa de seguridad en la nube propiedad de Google está rastreando la actividad bajo el nombre JINX-0164. Se considera que el actor de amenazas está activo desde al menos mediados de 2025 y está motivado por ganancias financieras, apuntando a los desarrolladores a través de técnicas de reclutamiento y otras técnicas de ingeniería social para desviar criptomonedas. En al menos un caso, se dice que el adversario llevó a cabo un ataque a la cadena de suministro.
En la cadena de ataque documentada por Wiz, se descubrió que JINX-0164 aprovecha perfiles creíbles de LinkedIn para acercarse a las víctimas y ofrecer una reunión virtual. La invitación a la reunión está diseñada para dirigir al objetivo a un dominio fraudulento que se hace pasar por un proveedor de teleconferencias.
A partir de ahí, se engaña a las víctimas para que descarguen e instalen el programa. Esto, a su vez, desencadena la recuperación de un ladrón de información de macOS basado en Python y un troyano de acceso remoto con nombre en código AUDIOFIX utilizando un script bash alojado en un dominio de tienda de controladores falso («apple.driver-store(.)com»).
«El script (bash) descargó una carga útil compatible con la arquitectura del mismo dominio, compatible con los sistemas Intel y Apple Silicon. La carga útil se hace pasar por un controlador de audio del sistema llamado coreaudiod, se guardó como ChromeUpdater y se ejecutó a través de launchctl», dijo Wiz.
Luego, el malware Python se aprovecha para robar datos confidenciales del punto final comprometido, moverse lateralmente a sistemas de distribución de código interno e infraestructura de desarrollo inyectando la carga útil AUDIOFIX y modificar el código fuente en un intento de comprometer otros puntos finales y robar credenciales de billetera de criptomonedas.
Los datos capturados incluyen credenciales de administradores de contraseñas, navegadores web y archivos de llavero de iCloud; credenciales de administrador local; claves SSH; archivos de configuración; archivos de historial de la consola; información de extensiones del navegador de criptomonedas; direcciones de billeteras de criptomonedas; y sesiones activas de Discord, Slack y Telegram.
Además del robo de información, AUDIOFIX admite varios comandos que permiten el reconocimiento manual, la exfiltración, la ejecución arbitraria de comandos de shell, la eliminación de archivos y la recuperación de carga útil desde un servidor externo.
También se ha observado que JINX-0164 apunta a desarrolladores de software haciéndose pasar por reclutadores, mientras emplea la misma técnica de ingeniería social: aprovechar la oportunidad de trabajo para programar una reunión que muestra un error técnico falso e indica a la víctima que descargue una «solución» que conduce a la instalación de malware.
Otro componente clave del arsenal del actor de amenazas es MiniRAT, una puerta trasera basada en Go que anteriormente se distribuía a través de una versión comprometida de un paquete npm llamado @velora-dex/sdk, un conjunto de herramientas DeFi legítimo utilizado para intercambios de tokens, órdenes limitadas y comercio delta en la plataforma de intercambio descentralizado VeloraDEX.
Según los detalles compartidos por SafeDep y StepSecurity el mes pasado, la versión envenenada descargó un script de shell desde un servidor remoto, que luego entregó un binario específico de macOS llamado MiniRAT. El malware está equipado para cargar archivos, ejecutar comandos de shell arbitrarios y recuperar cargas útiles o herramientas adicionales de dominios controlados por atacantes.
Vale la pena señalar que algunos aspectos de la campaña, junto con el uso de servicios VPN como Astrill VPN y el enfoque en criptomonedas y desarrolladores, recuerdan a los utilizados por múltiples grupos de amenazas norcoreanos como BlueNoroff, Contagious Interview y UNC1069. Sin embargo, Wiz dijo que no hay superposiciones de infraestructura que conecten JINX-0164 con Pyongyang en este momento.
«Del mismo modo, los tipos de dominios de suplantación de identidad son similares a los utilizados por otros actores norcoreanos; sin embargo, la infraestructura JINX-0164 no se superpone con otros grupos norcoreanos rastreados públicamente», dijo Wiz.