JINX-0164として追跡されている新たに特定された脅威アクターが、巧妙なLinkedInベースのソーシャルエンジニアリングキャンペーンを通じて暗号通貨関連組織を標的にしています。
金銭的動機を持つこのグループは、少なくとも2025年半ばから活動しています。カスタムmacOSマルウェアを活用し、認証情報の窃取やCI/CDパイプラインの悪用によって開発環境に侵入し、機密資産を盗み出しています。
これらのプロフィールは非常に信憑性が高く、現実的な職歴やプロフェッショナルなつながりを備えていることが多く、正規ユーザーと見分けることが困難でした。
複数のケースでは、アカウントがハイジャックされるか、キャンペーン専用に作成され、攻撃後に削除されていました。
攻撃チェーンは通常、LinkedInメッセージで共有される偽の会議招待から始まります。被害者はMicrosoft Teamsなどのプラットフォームを装った悪意あるドメインへ誘導されます。
サイトにアクセスすると、会議クライアントまたはトラブルシューティング修正プログラムのダウンロードを促しますが、実際にはmacOSマルウェアのペイロードが配信されます。
記録されたケースの一つでは、AUDIOFIXと名付けられたマルウェアが、Appleドライバーポータルを装ったスプーフィングドメインでホストされたbashスクリプトを通じて展開されました。
このスクリプトは、IntelとApple Siliconデバイスの両方に対応したアーキテクチャ対応のペイロードを配信しました。マルウェアはcoreaudiodという名前のシステムプロセスに偽装し、launchctlを介して実行され、感染マシン上に永続性を確立しました。
AUDIOFIXはインフォスティーラーとリモートアクセス型トロイの木馬の両方として機能します。macOS Keychain認証情報、ブラウザのパスワード、SSHキー、クラウドトークン、暗号通貨ウォレット情報など、侵害されたエンドポイントから広範なデータを収集します。
また、Slack、Discord、Telegramなどのアプリケーションからアクティブなセッションをハイジャックし、攻撃者が組織内での影響範囲を拡大できるようにします。
GBhackersと共有したレポートでWizの研究者らは述べており、攻撃者がLinkedInでリクルーターやビジネスパートナーを装って開発者に接触した複数の侵害を観測しています。
特筆すべき点として、このマルウェアはAWS、Azure、GCPの認証情報やGitHubトークンなどのクラウドインフラのシークレットを標的にしています。
これらのトークンはその後、nord-streamなどのツールを使ってCI/CDパイプラインから機密データを直接抽出するために悪用され、攻撃者はGitHub Actionsのシークレットやその他の重要な開発資産にアクセスできるようになります。
JINX-0164によるLinkedIn誘い文句の使用
JINX-0164はクラウドリソースの悪用に重点を置くのではなく、ソフトウェア開発ワークフローの侵害を優先します。開発者のマシンへのアクセスを獲得した後、攻撃者は内部リポジトリに悪意あるコードを注入して感染を拡大させます。
検出を回避するために巧妙なGit技術を駆使し、コミットメタデータを改ざんして開発者になりすます、悪意あるコードをメインブランチに直接プッシュする、または既存のブランチをハイジャックするといった手法を用います。
他の開発者がこれらのリポジトリからプルしてビルドすると、マルウェアが組織の開発インフラ全体に拡散します。
このアプローチは、信頼されたコードベースを感染ベクターに変えることで、広範な侵害の可能性を高めます。一部のケースでは、攻撃者がソースコードを改ざんしてさらなる認証情報の窃取、特に暗号通貨ウォレットを標的とした窃取を可能にしようとしていました。
このグループはサプライチェーン攻撃能力も示しています。2026年4月、JINX-0164はnpmパッケージ@velora-dex/sdkのバージョン4.9.1を侵害し、MINIRATと呼ばれる二次的なバックドアをダウンロードする悪意あるスクリプトを挿入しました。
AUDIOFIXとは異なり、MINIRATはコマンド実行とシステム偵察に特化した軽量なGoベースのバックドアです。
両マルウェアファミリーはHTTPSを介してコマンド&コントロールサーバーと通信し、datahub.inkなどのドメインを含む共通インフラを共有しています。攻撃者はまた、Mullvad、Astrill、ExpressVPNなどのVPNサービスを使用して活動を隠蔽しました。
一部の戦術は既知の北朝鮮系脅威グループが使用するものに類似していますが、研究者らは直接的なインフラの重複を発見できなかったため、JINX-0164は独自の能力を持つアクターであると示唆されています。
開発者と暗号通貨プラットフォームへの一貫した注力は、ソフトウェアサプライチェーン内の信頼を悪用しながら金銭的利益を最大化しようとする戦略的な取り組みを浮き彫りにしています。
侵害の痕跡(IOC)
| マルウェア | バリアント/テーマ(インフラ) | ハッシュ |
|---|---|---|
| MINIRAT | ARM64 | 0a8ab3d16b12d3a453ee5a3208fe04744ad54514ef8ea27bb8fe32679efad270 |
| MINIRAT | x86_64 | 0b028b781950641818800fee2b4bf68e4ef2bcee53fe71a21755275ba108783d |
| MINIRAT | ARM64 | a35d2b67fa478a7174e308b43ce30bf69b3bc6f44fa76197fdf95fc2fbc1cf5b |
| AUDIOFIX | HTTPS/ARM64 | 65cba741fe30fa4799fb9002ea8de6d96042a59159dd7c3419c766af24c835e6 |
| AUDIOFIX | HTTPS/x86_64 | 0b1a36a31b952341a534fe24890f1ed2921ee259773cff46e4f6273b8c4d5d21 |
| AUDIOFIX | Dropbox/ARM64 | e8ee6f5145c9d503c5130bfc6585567f6e19d409158c3c0ca0b259f1875b15f4 |
| AUDIOFIX | Dropbox/x86_64 | 3e3901519c2305fbe9d5483b7234c25c6d2b562512916481d96f26b849c39fdb |
| ドロッパー | 偽オーディオ修正(apple.driver-store.com) | 9c2ce925133a3bf5a924063bbef8df49918d5b7258695c1894cd18c75970157a |
| ドロッパー | 偽オーディオ修正(apple.driver-update.io) | 402625ec79e3573a80b6de9b33fc1e503e3c7803603cd958ddd515fb0549007c |
| ドロッパー | 偽オーディオ修正(driver-updater.net) | b6cab0b3aa8e56e2427f486c74588d598ae58bb0cbc0eda6939fe171cb0aed17 |
| ドロッパー | 偽Chromeアップデート(apple.driver-store.com) | d4e863f9818bfb2f1dd932df6441dff204e6142c3bdb55b298cb08dc7b6a0c62 |
| ドロッパー | サプライチェーン経由で配信(89.36.224.5) | c6ef82d2864dfd26f117a1ef5602679153423f2742970a7949cec72722f0a01e |
| ドロッパー | サプライチェーン経由で配信(89.36.224.5) | 2a10ffe0367bb1b26ba2c3bc600892c21074725c0b8c9dc9161e6ceb33915460 |
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐために意図的に無害化されています(例: [.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://gbhackers.com/jinx-0164-uses-linkedin-lures/
