これまで報告されていなかった脅威アクターが、カスタムmacOSマルウェア、偽の採用担当者を装ったアプローチ、および内部開発パイプラインの乗っ取りを用いて、暗号資産企業を標的にしていることが確認された。
Wizは、この活動を金銭的動機を持つクラスターに帰属させ、現在「Jinx-0164」として追跡していると、同社の新たな分析で明らかにした。
少なくとも2025年中頃から活動しており、ほぼ完全にmacOSに特化しているこのアクターは、UNC1069(Sleetとも呼ばれる)などの北朝鮮系グループと手法を共有している。しかし、これらの手法の実装方法は異なり、追跡中のアクターとのインフラの重複は見られない。Wizは、国家支援の脅威アクターとの関連付けには踏み込んでいない。
偽の会議とクローンされたオーディオドライバー
侵害は通常LinkedInから始まり、攻撃者は信頼性の高いプロフィールを使って取引先担当者や採用担当者を装う。標的は、Microsoft Teamsなどのサービスを模倣したなりすましドメイン上のオンライン会議に招待される。
通話に参加すると偽の技術的障害が発生し、「修正プログラム」の実行を促すメッセージが表示される。これによりマルウェアがインストールされる。このペイロードはPythonベースの情報窃取ツール兼リモートアクセスツールで「Audiofix」と名付けられており、システムのオーディオドライバーに偽装し、IntelおよびApple Siliconの両マシンで動作する。
Audiofixは、Keychain(キーチェーン)の内容、ブラウザの認証情報、SSHキー、クラウドプロバイダーのキー、および51種類の暗号資産ウォレット拡張機能の詳細情報を収集する。
また、Discord、Slack、Telegramのセッションを乗っ取り、コピーされたウォレットアドレスを取得するためにクリップボードを監視する。
ノートPCからコードパイプラインへ
Jinx-0164はクラウドアカウントへの侵入を試みる代わりに、窃取したGitHubトークンを被害者の開発インフラに悪用し、オープンソースツール「nord-stream」を使用してCI/CDパイプラインからシークレット情報を抽出した。
次に、他の開発者の名義でコミットを偽装しながら内部リポジトリにAudiofixを注入し、メインブランチや既存のブランチにプッシュした。
同僚が汚染されたリポジトリからビルドを行うと、そのマシンも感染し、ビルドプロセスが伝播チャネルと化した。Wizは、未検証のコミットにフラグを立てるGitHubの「Vigilant Mode(警戒モード)」が、この偽装を露見させ、拡散を食い止めるのに役立ったと述べた。
北朝鮮系グループの詳細はこちら:ハッカーがディープフェイクビデオ通話を使って暗号資産企業を標的に
このグループの活動範囲は直接的な侵害にとどまらない。4月7日には、広く利用されている分散型取引所ツールキットであるnpmパッケージ「@velora-dex/sdk」のバージョン4.9.1をトロイの木馬化し、「MINIRAT」と呼ばれる第2のmacOSバックドアを取得するコードを追加した。
採用をテーマにした誘い込み手法は、暗号資産を標的とする攻撃者の間ではすでに定着しており、Slow Piscesなどのグループによる過去のキャンペーンを踏襲している。
Wizは防御担当者に対し、公開された侵害の痕跡(IoC)、Mullvad・Astrill・ExpressVPNなどのVPNサービスの予期しない使用、およびCI/CDワークフローからのシークレット情報の持ち出しを監視するよう促した。
また、GitHubのIPログなど、デフォルトで無効になっているログを有効化し、未検証のコミットを不審なものとして扱うことも推奨した。
画像クレジット:alexgo.photography / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/jinx-0164-crypto-developers-macos/
