這是一起典型的針對高價值目標的精準攻擊。攻擊者 JINX-0164 並非隨機發送垃圾郵件,而是將目標鎖定在加密貨幣公司及其開發人員身上。對於工程師來說,這起事件最值得關注的不是惡意軟體本身,而是它如何利用開發者的心理與工作流程,從一台筆電一路滲透到公司的 CI/CD 基礎設施中。
攻擊的起點是社交工程
攻擊者首先在 LinkedIn 上建立看似專業且可信的招募人員帳號,主動接觸目標開發者並提供職缺機會。當開發者對機會感興趣並同意進行虛擬面試時,陷阱隨即啟動。
攻擊者會發送一個會議邀請,將目標引導至一個偽裝成視訊會議平台的釣魚域名。在面試過程中,系統會故意顯示一個技術錯誤,並指示開發者下載一個修復程式來解決問題。這種手法利用了開發者在面對技術故障時傾向於快速解決問題的習慣,誘導其下載並執行惡意程式。
從端點滲透到核心基礎設施
一旦開發者安裝了所謂的修復程式,系統會執行一個 Bash 腳本(一種在 macOS 與 Linux 上執行指令的文字檔),從偽裝成驅動程式商店的域名下載名為 AUDIOFIX 的惡意軟體。
AUDIOFIX 是一個基於 Python 語言開發的資訊竊取程式(Infostealer)與遠端存取木馬(RAT)。RAT 的目的是讓攻擊者能像操作自己的電腦一樣,遠端控制受害者的機器。
這款惡意軟體採取了偽裝策略,將自己命名為 coreaudiod(這在 macOS 中是一個正常的系統音訊驅動程式),並透過 launchctl(macOS 的系統服務管理工具)來確保程式在背景持續執行。
對於工程師而言,最危險的步驟在於橫向移動。攻擊者在獲取開發者筆電的控制權後,會搜尋 SSH 金鑰、設定檔與瀏覽器快取,試圖獲取進入內部開發環境的權限。一旦進入 CI/CD(持續整合與持續部署)基礎設施,攻擊者就能直接修改原始碼,將惡意程式植入正式發布的產品中,將單一端點的感染擴大為大規模的供應鏈攻擊。
供應鏈攻擊的實例:npm 套件投毒
除了直接針對個人,JINX-0164 還採取了套件投毒(Package Poisoning)手段。他們將後門程式 MiniRAT 植入一個名為 @velora-dex/sdk 的 npm 套件中。
npm 是 Node.js 的套件管理工具,許多開發者會直接透過指令安裝第三方套件。當開發者安裝了被污染的版本後,該套件會自動下載並執行 macOS 專用的 MiniRAT 二進位檔,讓攻擊者能上傳檔案、執行任意指令或獲取更多權限。
這提醒了所有開發者,即便是在使用知名的 DeFi 工具套件時,也必須謹慎審核依賴項的版本與來源。
被竊取的關鍵資產
這場攻擊的最終目標是財務獲利。AUDIOFIX 專門設計用來竊取以下敏感資訊:
密碼管理員、瀏覽器與 iCloud 鑰匙圈中的憑據。 SSH 金鑰與本地管理員權限。 加密貨幣瀏覽器擴充功能(如 MetaMask)的資訊與錢包地址。 Discord、Slack 與 Telegram 的活動對話會話(Session),這讓攻擊者能直接冒充員工與同事溝通。
總結與防禦建議
雖然 JINX-0164 的手法與某些北韓駭客組織(如 BlueNoroff)相似,但目前尚未有直接的基礎設施重疊證據。然而,其攻擊路徑給了我們深刻的教訓:
第一,不要在未經確認的網站上下載任何執行檔,即便對方自稱是面試官或技術支援。 第二,實行最小權限原則。開發機器的 SSH 金鑰應設定過期時間或使用硬體金鑰(如 YubiKey),避免單一端點失守導致整個 CI/CD 管道被接管。 第三,審核第三方依賴。在生產環境中使用 npm 套件時,應鎖定版本(lock file)並定期掃描已知漏洞。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。