**Wiz** の研究者である Shira Ayal、Eden Abergil、Andre Maccarone、Yuval Dan、Benjamin Read は、新たなキャンペーンについて次のように述べています。「これらのキャンペーンは、高度なソーシャルエンジニアリング技術、カスタムmacOSマルウェア、そしてCI/CDインフラストラクチャへの深い標的化を活用していました。使用された手法により、脅威アクターは侵害された従業員のラップトップからコード配布システムや開発インフラストラクチャへと横断的に移動することが可能になりました。」 ### 採用を装ったソーシャルエンジニアリング 少なくとも2025年半ばから活動している **JINX-0164** は、信頼性の高い **LinkedIn** プロファイルを通じて被害者にアプローチし、仮想会議を提案します。これらの会議は、ターゲットを電話会議プロバイダーを模倣した不正なドメインに誘導するように設計されています。 その後、被害者は会議クライアントを装った悪意のあるファイルをダウンロードするように騙されます。これにより、偽のドライバーストアドメイン（"apple.driver-store[.]com"）でホストされている bash スクリプトを介して、PythonベースのmacOSインフォスティーラーおよびリモートアクセス型トロイの木馬である **AUDIOFIX** が取得されます。 「[bash] スクリプトは、同じドメインから、Intel および Apple Silicon システムの両方と互換性のあるアーキテクチャ対応のペイロードをダウンロードしました。ペイロードはシステムオーディオドライバーである coreaudiod を装い、ChromeUpdater として保存され、launchctl を介して実行されました」と **Wiz** は説明しています。  ### AUDIOFIX マルウェアの詳細 **AUDIOFIX** は、機密データを盗み、ラテラルムーブメントを促進し、ソースコードを変更して他のエンドポイントを侵害し、仮想通貨ウォレットの認証情報を盗みます。このマルウェアは、パスワードマネージャー、Webブラウザ、**iCloud Keychain** ファイルからの認証情報、ローカル管理者認証情報、SSHキー、設定ファイル、仮想通貨ウォレットアドレスを標的にします。  データ窃盗に加えて、**AUDIOFIX** は偵察、情報漏洩、任意のシェルコマンド実行、ファイル削除、ペイロード取得のためのコマンドをサポートしています。 ### MiniRAT バックドア **JINX-0164** はまた、**VeloraDEX** 分散型取引プラットフォームで使用される正規の DeFi ツールキットである `@velora-dex/sdk` **npm** パッケージの侵害されたバージョンを通じて以前に配布されていた Go ベースのバックドアである **MiniRAT** も利用しています。このサプライチェーン攻撃には、macOS 固有のバイナリである **MiniRAT** を配信するシェルスクリプトのダウンロードが含まれており、ファイルアップロード、シェルコマンドの実行、追加ペイロードの取得が可能です。 ### 北朝鮮との関連性の可能性？ このキャンペーンの戦術は、**Astrill VPN** の使用や、仮想通貨および開発者への焦点と相まって、**BlueNoroff**、**Contagious Interview**、**UNC1069** のような北朝鮮の脅威アクターと類似性があります。しかし、**Wiz** は現時点では **JINX-0164** を平壌に結びつけるインフラストラクチャの重複を発見していません。 「同様に、なりすましドメインの種類は他の北朝鮮のアクターが使用するものと似ていますが、JINX-0164 のインフラストラクチャは、他の公開されている北朝鮮グループとの重複はありません」と **Wiz** は結論付けています。