JINX-0164 ជន​គំរាមកំហែង​ប្រើប្រាស់​វិស្វកម្ម​សង្គម LinkedIn ដើម្បី​ដាក់ពង្រាយ​មេរោគ macOS ផ្ទាល់ខ្លួន

អ្នកគំរាមកំហែងថ្មីមួយដែលត្រូវបានតាមដានថាជា JINX-0164 បានដំណើរការការវាយប្រហារដែលបានគណនាប្រឆាំងនឹងអង្គការរូបិយប័ណ្ណគ្រីបតូ ដោយប្រើប្រាស់ប្រវត្តិរូប LinkedIn ដើម្បីទាក់ទាញអ្នកអភិវឌ្ឍន៍ឱ្យទាញយកមេរោគ macOS ផ្ទាល់ខ្លួន។

ក្រុមនេះបានធ្វើសកម្មភាពយ៉ាងសកម្មចាប់តាំងពីយ៉ាងហោចណាស់ពាក់កណ្តាលឆ្នាំ 2025 មក ហើយបានរួមបញ្ចូលគ្នានូវវិស្វកម្មសង្គម ការលួចអត្តសញ្ញាណ និងការបំផ្លិចបំផ្លាញខ្សែសង្វាក់ផ្គត់ផ្គង់ទៅជាប្រតិបត្តិការដ៏រលូនមួយ ដែលធ្វើឱ្យបំពង់អភិវឌ្ឍន៍កម្មវិធីទាំងមូលប្រឈមនឹងហានិភ័យ។

ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងប្រវត្តិរូប LinkedIn ដែលបង្កើតឡើងយ៉ាងគួរឱ្យជឿជាក់ ដែលទៅដល់គោលដៅក្រោមរូបភាពនៃឱកាសអាជីវកម្ម ឬការផ្តល់ជូនការងារ។

នៅពេលដែលទំនុកចិត្តត្រូវបានបង្កើតឡើង ជនរងគ្រោះទទួលបានការអញ្ជើញចូលរួមកិច្ចប្រជុំដែលភ្ជាប់ទៅនឹងទំព័រវេទិកាសន្និសីទក្លែងក្លាយ ដែលត្រូវបានរចនាឡើងដើម្បីមើលទៅដូចជា Microsoft Teams ឬសេវាកម្មស្រដៀងគ្នា។

ការចុចលើតំណភ្ជាប់នឹងបង្កឱ្យមានការទាញយកឧបករណ៍ចូលប្រើពីចម្ងាយជាក់លាក់ macOS ដែលចាប់ផ្តើមលួចទិន្នន័យរសើបដោយស្ងៀមស្ងាត់ចាប់ពីពេលដែលវាដំណើរការ។

អ្នកស្រាវជ្រាវនៅ Wiz.io បានកំណត់អត្តសញ្ញាណ និងដាក់ឈ្មោះចង្កោមគំរាមកំហែង JINX-0164 បន្ទាប់ពីស៊ើបអង្កេតការឈ្លានពានជាច្រើនដែលកំណត់គោលដៅក្រុមហ៊ុនរូបិយប័ណ្ណគ្រីបតូ។

Wiz CIRT និង Wiz Research បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលបានចែករំលែកជាមួយ Cyber ​​Security News ថា តួអង្គនេះមានកម្លាំងចិត្តផ្នែកហិរញ្ញវត្ថុ ហើយបានដាក់ពង្រាយមេរោគពីរក្រុមផ្សេងគ្នាគឺ AUDIOFIX និង MINIRAT ដោយផ្តោតយ៉ាងច្បាស់លាស់លើឧបករណ៍ macOS។

AUDIOFIX គឺជា infostealer និង backdoor ដែលមានមូលដ្ឋានលើ Python ដែលប្រមូលព័ត៌មានសម្ងាត់របស់កម្មវិធីរុករក ផ្នែកបន្ថែមកាបូបរូបិយប័ណ្ណគ្រីបតូ កូនសោ SSH សញ្ញាសម្ងាត់ API cloud និងសូម្បីតែទិន្នន័យ clipboard ក្នុងពេលវេលាជាក់ស្តែង។

វាទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យរបស់វាតាមរយៈ HTTPS ដែលបានអ៊ិនគ្រីប ដោយប្រើការអ៊ិនគ្រីប AES-256-CBC ហើយអាចប្តូរទៅចន្លោះពេលស្ទង់មតិចៃដន្យដោយស្ងាត់ៗ ដើម្បីជៀសវាងការរកឃើញ។

មេរោគនេះក៏កំណត់គោលដៅវគ្គសកម្មនៅលើវេទិកាទំនាក់ទំនងដូចជា Discord, Slack និង Telegram ដែលផ្តល់ឱ្យអ្នកវាយប្រហារនូវទិដ្ឋភាពទូលំទូលាយអំពីជីវិតឌីជីថលរបស់ជនរងគ្រោះ។

អ្នកគំរាមកំហែងបានបិទបាំងសកម្មភាពបណ្តាញរបស់ពួកគេដោយបញ្ជូនការតភ្ជាប់តាមរយៈសេវាកម្ម VPN ពាណិជ្ជកម្ម ដែលធ្វើឱ្យការបញ្ជាក់កាន់តែពិបាក។

ដើម្បីគ្របដណ្តប់ផ្លូវរបស់ពួកគេបន្ថែមទៀត ពួកគេបានកែប្រែទិន្នន័យមេតា Git commit ដើម្បីក្លែងបន្លំជាអ្នកអភិវឌ្ឍន៍ស្របច្បាប់ និងរុញកូដព្យាបាទដោយផ្ទាល់ទៅក្នុងឃ្លាំងខាងក្នុង ដោយបង្វែរហេដ្ឋារចនាសម្ព័ន្ធអភិវឌ្ឍន៍របស់អង្គការទៅជាយន្តការចែកចាយសម្រាប់ការឆ្លងមេរោគបន្ថែមទៀត។

អ្នកគំរាមកំហែង JINX-0164 ដោយប្រើវិស្វកម្មសង្គម LinkedIn

ខ្សែសង្វាក់វាយប្រហារបានលាតត្រដាងក្នុងរយៈពេលពីរសប្តាហ៍ក្នុងករណីដែលបានកត់ត្រាមួយ ដោយផ្លាស់ប្តូរពីសារ LinkedIn ទៅជាការសម្របសម្រួលហេដ្ឋារចនាសម្ព័ន្ធពេញលេញ។

នៅពេលដែលអ្នកអភិវឌ្ឍន៍ចុចលើតំណភ្ជាប់កិច្ចប្រជុំក្លែងក្លាយ AUDIOFIX ត្រូវបានទាញយកតាមរយៈស្គ្រីប bash dropper ដែលបង្ហោះនៅលើដែនអាប់ដេតកម្មវិធីបញ្ជាក្លែងក្លាយ។

បន្ទុកទិន្នន័យបានក្លែងខ្លួនវាជាសមាសធាតុអូឌីយ៉ូប្រព័ន្ធដែលមានឈ្មោះថា coreaudiod ហើយត្រូវបានរក្សាទុកជា ChromeUpdater ដែលត្រូវបានដាក់ឱ្យដំណើរការតាមរយៈ launchctl ដើម្បីបង្កើតភាពស្ថិតស្ថេរ។

បន្ទាប់ពីទទួលបានទីតាំងឈរជើង មេរោគបានប្រមូលព័ត៌មានសម្ងាត់ពី macOS Keychain កម្មវិធីរុករក និងឯកសារកំណត់រចនាសម្ព័ន្ធពពក រួមទាំងសោ AWS, GCP និង Azure ក៏ដូចជាសញ្ញាសម្ងាត់ Cloudflare API។

សញ្ញាសម្ងាត់ GitHub ត្រូវបានប្រើដើម្បីលួចយកអាថ៌កំបាំងពីបំពង់ CI/CD ដោយប្រើឧបករណ៍ប្រភពបើកចំហមួយហៅថា nord-stream។ អ្នកវាយប្រហារបានរុញកូដដែលឆ្លងមេរោគចូលទៅក្នុងឃ្លាំងដែលបានចែករំលែក ដែលបន្ទាប់មករីករាលដាល AUDIOFIX ទៅកាន់អ្នកអភិវឌ្ឍន៍ទាំងអស់ដែលបានទាញយក និងបង្កើតពីសាខាទាំងនោះ។

ការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់តាមរយៈកញ្ចប់ npm ដែល Trojanized

នៅថ្ងៃទី 7 ខែមេសា ឆ្នាំ 2026 JINX-0164 បានកើនឡើងដោយកំណត់គោលដៅខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធីទូលំទូលាយ។ ក្រុមនេះបានកែប្រែកំណែ 4.9.1 នៃកញ្ចប់ npm @velora-dex/sdk ដោយស្ងាត់ៗ ដែលជា SDK រូបិយប័ណ្ណឌីជីថលដែលប្រើប្រាស់យ៉ាងទូលំទូលាយ ដោយបន្ថែមកូដដែលនឹងទាញយក និងប្រតិបត្តិស្គ្រីបសែលនៅពេលណាដែលកញ្ចប់ត្រូវបាននាំចូលដោយគម្រោងណាមួយ។