Investigadores de **Wiz**, Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dan y Benjamin Read, revelaron la nueva campaña, afirmando: "Estas campañas aprovecharon sofisticadas técnicas de ingeniería social, malware personalizado para macOS y un profundo ataque a la infraestructura CI/CD. Los métodos utilizados permitieron al actor de amenazas moverse lateralmente desde laptops de empleados comprometidas a sistemas de distribución de código e infraestructura de desarrollo." ### Ingeniería Social Temática de Reclutamiento **JINX-0164**, activo desde al menos mediados de 2025, se acerca a las víctimas a través de perfiles creíbles de **LinkedIn**, ofreciendo reuniones virtuales. Estas reuniones están diseñadas para redirigir a los objetivos a dominios maliciosos que imitan a proveedores de teleconferencias. Luego, las víctimas son engañadas para descargar un archivo malicioso disfrazado de cliente de reunión. Esto activa la recuperación de **AUDIOFIX**, un infostealer y troyano de acceso remoto para macOS basado en Python, a través de un script bash alojado en un dominio falso de tienda de controladores ("apple.driver-store[.]com"). "El script [bash] descargó un payload compatible con la arquitectura del mismo dominio, compatible tanto con sistemas Intel como Apple Silicon. El payload se disfraza de controlador de audio del sistema llamado coreaudiod, se guardó como ChromeUpdater y se ejecutó a través de launchctl", explicó **Wiz**.  ### Detalles del Malware AUDIOFIX **AUDIOFIX** roba datos sensibles, facilita el movimiento lateral y modifica el código fuente para comprometer otros endpoints y robar credenciales de billeteras de criptomonedas. El malware apunta a credenciales de gestores de contraseñas, navegadores web y archivos de **iCloud Keychain**, así como a credenciales de administrador local, claves SSH, archivos de configuración y direcciones de billeteras de criptomonedas.  Además del robo de datos, **AUDIOFIX** soporta comandos para reconocimiento, exfiltración, ejecución de comandos shell arbitrarios, eliminación de archivos y recuperación de payloads. ### Puerta Trasera MiniRAT **JINX-0164** también utiliza **MiniRAT**, una puerta trasera basada en Go distribuida previamente a través de una versión comprometida del paquete **npm** `@velora-dex/sdk`, un kit de herramientas DeFi legítimo utilizado en la plataforma de intercambio descentralizado **VeloraDEX**. Este ataque a la cadena de suministro implicó la descarga de un script shell que entregó un binario específico para macOS, **MiniRAT**, capaz de subir archivos, ejecutar comandos shell y obtener payloads adicionales. ### ¿Posible Conexión Norcoreana? Las tácticas de la campaña, junto con el uso de **Astrill VPN** y el enfoque en criptomonedas y desarrolladores, comparten similitudes con actores de amenazas norcoreanos como **BlueNoroff**, **Contagious Interview** y **UNC1069**. Sin embargo, **Wiz** no ha encontrado superposiciones de infraestructura que conecten a **JINX-0164** con Pyongyang en este momento. "De manera similar, los tipos de dominios de suplantación son similares a los utilizados por otros actores norcoreanos; sin embargo, la infraestructura de JINX-0164 no tiene superposiciones con otros grupos norcoreanos rastreados públicamente", concluyó **Wiz**.