Les chercheurs de **Wiz**, Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dan et Benjamin Read, ont révélé la nouvelle campagne, déclarant : « Ces campagnes ont exploité des techniques d'ingénierie sociale sophistiquées, des malwares macOS personnalisés et un ciblage approfondi de l'infrastructure CI/CD. Les méthodes utilisées ont permis à l'acteur de menace de se déplacer latéralement depuis les ordinateurs portables compromis des employés vers les systèmes de distribution de code et l'infrastructure de développement. » ### Ingénierie Sociale Basée sur le Recrutement **JINX-0164**, actif depuis au moins mi-2025, approche les victimes via des profils **LinkedIn** crédibles, en proposant des réunions virtuelles. Ces réunions sont conçues pour rediriger les cibles vers des domaines malveillants imitant des fournisseurs de téléconférence. Les victimes sont ensuite trompées pour télécharger un fichier malveillant déguisé en client de réunion. Cela déclenche la récupération de **AUDIOFIX**, un infostealer et cheval de Troie d'accès à distance basé sur Python pour macOS, via un script bash hébergé sur un faux domaine de magasin de pilotes ("apple.driver-store[.]com"). « Le script [bash] a téléchargé une charge utile adaptée à l'architecture depuis le même domaine, compatible avec les systèmes Intel et Apple Silicon. La charge utile se fait passer pour un pilote audio système nommé coreaudiod, a été enregistrée sous le nom ChromeUpdater et a été exécutée via launchctl », a expliqué **Wiz**.  ### Détails du Malware AUDIOFIX **AUDIOFIX** vole des données sensibles, facilite les déplacements latéraux et modifie le code source pour compromettre d'autres points d'extrémité et voler les identifiants de portefeuille de cryptomonnaies. Le malware cible les identifiants des gestionnaires de mots de passe, des navigateurs web et des fichiers **iCloud Keychain**, ainsi que les identifiants d'administrateur local, les clés SSH, les fichiers de configuration et les adresses de portefeuille de cryptomonnaies.  En plus du vol de données, **AUDIOFIX** prend en charge des commandes pour la reconnaissance, l'exfiltration, l'exécution de commandes shell arbitraires, la suppression de fichiers et la récupération de charges utiles. ### Backdoor MiniRAT **JINX-0164** utilise également **MiniRAT**, un backdoor basé sur Go précédemment distribué via une version compromise du package **npm** `@velora-dex/sdk`, un kit d'outils DeFi légitime utilisé sur la plateforme d'échange décentralisée **VeloraDEX**. Cette attaque de la chaîne d'approvisionnement impliquait le téléchargement d'un script shell qui livrait un binaire spécifique à macOS, **MiniRAT**, capable de télécharger des fichiers, d'exécuter des commandes shell et de récupérer des charges utiles supplémentaires. ### Connexion Potentielle avec la Corée du Nord ? Les tactiques de la campagne, associées à l'utilisation de **Astrill VPN** et à la focalisation sur les cryptomonnaies et les développeurs, présentent des similitudes avec des acteurs de menace nord-coréens tels que **BlueNoroff**, **Contagious Interview** et **UNC1069**. Cependant, **Wiz** n'a trouvé aucun chevauchement d'infrastructure reliant **JINX-0164** à Pyongyang à l'heure actuelle. « De même, les types de domaines d'usurpation sont similaires à ceux utilisés par d'autres acteurs nord-coréens ; cependant, l'infrastructure de JINX-0164 n'a aucun chevauchement avec d'autres groupes nord-coréens suivis publiquement », a conclu **Wiz**.