JINX-0164:未知の脅威グループがmacOSマルウェアで暗号資産企業を攻撃

新たに確認された脅威グループ「JINX-0164」による、高度なサイバー攻撃キャンペーンの全貌が明らかになりました。

2025年半ばから活動を開始したこの金銭目的の攻撃者は、主に暗号資産関連企業とソフトウェア開発者を標的にしています。

巧妙なソーシャルエンジニアリング手法とカスタム製macOSマルウェアを組み合わせることで、従業員の端末への侵入に成功しています。

さらに、継続的インテグレーション・継続的デリバリー(CI/CD)インフラにも侵入しています。最終的な目的は、暗号資産ウォレットの認証情報を窃取し、ソフトウェアサプライチェーン全体への広範な攻撃を実行することです。

攻撃はLinkedIn上から始まります。JINX-0164のオペレーターは、正規のIT系リクルーターやビジネスパートナーになりすまし、開発者との信頼関係を構築します。

その後、Microsoft TeamsやSlackなどのプラットフォームを模した偽ドメインを通じて、被害者をオンライン会議に誘導します。

オンボーディングや面接の通話中に、攻撃者は意図的に技術的な不具合を演出します。そして被害者に対して、「音声修正」スクリプトをダウンロードするコマンドを実行するよう指示します。

この悪意あるbashスクリプトは被害者のOSを調査し、Macのアーキテクチャに合わせたペイロードを配信します。

後期フェーズで展開されることの多い「MINIRAT」は、Go言語で実装された軽量なバックドアで、リモートシェルの実行とデータの外部送信を目的として設計されています。

いずれのマルウェアファミリーも、ハードコードされたコマンド&コントロール(C2)サーバーと通信し、AES-256-CBC暗号化によってネットワークトラフィックを隠蔽します。

JINX-0164は従来のクラウドインフラを経由した横展開にとどまらず、窃取した開発者トークンを悪用して内部のコード配布システムを積極的に狙います。

オープンソースツールを活用し、GitHub Actionsパイプラインからインフラのシークレット情報を直接抽出します。

さらに、Gitのコミッターフィールドを書き換えることで正規の開発者になりすまし、悪意あるペイロードを稼働中の内部ブランチにプッシュします。

この横移動手法により、被害組織自身の開発環境がマルウェアの拡散経路として機能するようになります。侵害されたコードをプルした他のエンジニアへの感染が連鎖して広がると、Wizは報告しています

このグループの活動範囲は公開パッケージリポジトリにも及んでおり、人気のnpmパッケージ「@velora-dex/sdk」の侵害がその一例として挙げられています。

こうした攻撃への対策として、セキュリティチームはエンドポイントのログを監視し、launchctlに紐づく予期しない永続化メカニズムを検出するとともに、未検証のコミットバッジがないかGitHubのログを定期的に監査することが推奨されます。

また、脅威ハンターはExpressVPN・AstrillVPN・MullvadVPNを起点とする異常なクラウド認証試行を追跡する必要があります。攻撃者はこれらのVPNサービスを常用して、活動の痕跡を隠蔽しているためです。

注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクの生成を防ぐため、意図的に無効化(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。

翻訳元: https://cyberpress.org/jinx-0164-targets-crypto-firms/

ソース: cyberpress.org