Μια νέα απειλή στον κόσμο των κυβερνοασφάλειας, γνωστή ως JINX-0164, έχει προκαλέσει ανησυχία στους οργανισμούς κρυπτονομισμάτων, καθώς εκτελεί ειδικά σχεδιασμένες επιθέσεις μέσω επαγγελματικών προφίλ στο LinkedIn. Οι επιθέσεις αυτές, που μπορούν να έχουν σοβαρές επιπτώσεις στις υποδομές ασφάλειας των χρηστών, χρησιμοποιούν την κοινωνική μηχανική για να παρασύρουν προγραμματιστές να εγκαταστήσουν κακόβουλο λογισμικό για macOS.
Ενεργός από τα μέσα του 2025, ο JINX-0164 συνδυάζει τεχνικές κοινωνικής μηχανικής, κλοπή διαπιστευτηρίων και επιθέσεις στην αλυσίδα εφοδιασμού. Αυτός ο συνδυασμός έχει προκαλέσει ανησυχία για την ασφάλεια των διαδικτυακών οικονομικών υπηρεσιών, με τη Wiz.io να καταγράφει τις δραστηριότητες του ηθοποιού σε έκθεση που δημοσίευσαν πρόσφατα.
Οι επιθέσεις αρχίζουν με την αποστολή πειστικών προσκλήσεων σε επαγγελματίες μέσω LinkedIn, προσφέροντας δήθεν ευκαιρίες απασχόλησης. Μόλις οι στόχοι αποδεχτούν τη συζήτηση, τους γίνεται πρόσκληση για μια ψεύτικη συνάντηση, η οποία υποτίθεται ότι πραγματοποιείται μέσω μιας νόμιμης πλατφόρμας συνδιάσκεψης, όπως το Microsoft Teams. Αν ο χρήστης κάνει κλικ στο σύνδεσμο, κατεβάζει ένα εργαλείο απομακρυσμένης πρόσβασης που κλέβει προσωπικά δεδομένα αμέσως μόλις εγκατασταθεί.
Αυτή η στρατηγική επιτρέπει στους εισβολείς να αποσπάσουν κρίσιμα δεδομένα από θύματα, όπως διαπιστευτήρια από το macOS Keychain και πληροφορίες από προγράμματα περιήγησης και πλατφόρμες επικοινωνίας.
JINX-0164: Ηθοποιός απειλών που χρησιμοποιεί το LinkedIn
Η συγκεκριμένη αλυσίδα επιθέσεων έχει προκαλέσει έντονη ανησυχία, καθώς οι εισβολείς κάνουν χρήση νόμιμων εργαλείων και πλατφορμών για να παραμείνουν κρυμμένοι. Η Wiz.io έχει εντοπίσει τις δύο οικογένειες κακόβουλου λογισμικού, AUDIOFIX και MINIRAT, που στοχεύουν στους χρήστες macOS για να κλέψουν ευαίσθητα δεδομένα και να επιτύχουν μακροχρόνια πρόσβαση στα συστήματα των θυμάτων.
Το AUDIOFIX, ένα εργαλείο που βασίζεται σε Python, έχει τη δυνατότητα να συλλέγει password και κωδικούς πρόσβασης από πορτοφόλια κρυπτονομισμάτων, καθώς και κλειδιά API από cloud υπηρεσίες. Παράλληλα, το MINIRAT προσφέρει στους χειριστές τη δυνατότητα εκτέλεσης εντολών εξ αποστάσεως, χωρίς την ανάγκη εκτενούς κλοπής δεδομένων.
Επίθεση στην Αλυσίδα Προμήθειας μέσω Trojanized npm Package
Στις 7 Απριλίου 2026, η απειλή JINX-0164 προχώρησε σε μια σοβαρή επίθεση κατά της αλυσίδας προμήθειας λογισμικού, μέσω τροποποίησης ενός ευρέως χρησιμοποιούμενου πακέτου npm με τον τίτλο @velora-dex/sdk. Αυτή η τροποποίηση επιτρέπει την αθόρυβη λήψη επιβλαβούς κώδικα κάθε φορά που το πακέτο εισάγεται σε οποιοδήποτε έργο.
Μέσα από αυτό το σενάριο, το MINIRAT εγκαθίσταται στα μολυσμένα μηχανήματα, ενδυναμώνοντας τη δυνατότητα των επιτιθέμενων να εξουσιάζουν τις εγκαταστάσεις των θυμάτων.
Για την προστασία τους, οι οργανισμοί καλούνται να αναλάβουν δράση με την ανάπτυξη λύσεων ανίχνευσης και απόκρισης στα τερματικά τους, ενισχύοντας την ασφάλεια των συστημάτων μέσω παρακολούθησης μη επαληθευμένων δεσμεύσεων σε πλατφόρμες όπως το GitHub.
Συστήνεται επίσης η ενεργοποίηση της λειτουργίας GitHub Vigilant για την παρακολούθηση ύποπτων συμπεριφορών και η προσοχή σε περιπτώσεις ανώμαλης δραστηριότητας στους αγωγούς CI/CD.
Δείκτες Συμβιβασμού (IoCs):
Σημαντικοί δείκτες συμβιβασμού περιλαμβάνουν συγκεκριμένους τύπους SHA-256 για τα ωφέλιμα φορτία όπως το MINIRAT και το AUDIOFIX, καθώς και IP διευθύνσεις που χρησιμοποιούνται για τις επιθέσεις. Τα θύματα προειδοποιούνται επίσης να προσέχουν παράθυρα παράδοσης που σχετίζονται με πλαστά προγράμματα και τομείς όπως apple.driver-store.com.
Σημείωμα: Οι διευθύνσεις IP και οι τομείς είναι σκόπιμα αλλοιωμένοι για την αποφυγή ταυτοποίησης. Ωστόσο, καλούνται οι αναγνώστες να είναι προσεκτικοί σε τυχόν μη επαληθευμένες ή ύποπτες επικοινωνίες.
