Pesquisadores da **Wiz**, Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dan e Benjamin Read, revelaram a nova campanha, afirmando: "Estas campanhas aproveitaram técnicas sofisticadas de engenharia social, malware customizado para macOS e direcionamento profundo de infraestrutura CI/CD. Os métodos utilizados permitiram que o ator de ameaça se movesse lateralmente de laptops de funcionários comprometidos para sistemas de distribuição de código e infraestrutura de desenvolvimento." ### Engenharia Social com Tema de Recrutamento O **JINX-0164**, ativo desde pelo menos meados de 2025, aborda vítimas através de perfis credíveis no **LinkedIn**, oferecendo reuniões virtuais. Essas reuniões são projetadas para redirecionar os alvos para domínios maliciosos que imitam provedores de teleconferência. As vítimas são então enganadas para baixar um arquivo malicioso disfarçado de cliente de reunião. Isso aciona a recuperação do **AUDIOFIX**, um infostealer e trojan de acesso remoto baseado em Python para macOS, via um script bash hospedado em um domínio falso de loja de drivers ("apple.driver-store[.]com"). "O script [bash] baixou um payload ciente da arquitetura do mesmo domínio, compatível com sistemas Intel e Apple Silicon. O payload se disfarça como um driver de áudio do sistema chamado coreaudiod, foi salvo como ChromeUpdater e foi executado via launchctl", explicou a **Wiz**.  ### Detalhes do Malware AUDIOFIX O **AUDIOFIX** rouba dados sensíveis, facilita o movimento lateral e modifica o código-fonte para comprometer outros endpoints e roubar credenciais de carteiras de criptomoedas. O malware visa credenciais de gerenciadores de senhas, navegadores web e arquivos do **iCloud Keychain**, bem como credenciais de administrador local, chaves SSH, arquivos de configuração e endereços de carteiras de criptomoedas.  Além do roubo de dados, o **AUDIOFIX** suporta comandos para reconhecimento, exfiltração, execução arbitrária de comandos shell, exclusão de arquivos e recuperação de payload. ### Backdoor MiniRAT O **JINX-0164** também utiliza o **MiniRAT**, um backdoor baseado em Go previamente distribuído através de uma versão comprometida do pacote **npm** `@velora-dex/sdk`, um kit de ferramentas DeFi legítimo usado na plataforma de exchange descentralizada **VeloraDEX**. Este ataque à cadeia de suprimentos envolveu o download de um script shell que entregou um binário específico para macOS, o **MiniRAT**, capaz de fazer upload de arquivos, executar comandos shell e buscar payloads adicionais. ### Conexão Potencial com a Coreia do Norte? Táticas da campanha, juntamente com o uso de **Astrill VPN** e o foco em criptomoedas e desenvolvedores, compartilham semelhanças com atores de ameaças norte-coreanos como **BlueNoroff**, **Contagious Interview** e **UNC1069**. No entanto, a **Wiz** não encontrou sobreposições de infraestrutura conectando o **JINX-0164** a Pyongyang neste momento. "Similarmente, os tipos de domínios de spoofing são semelhantes aos usados por outros atores norte-coreanos; no entanto, a infraestrutura do JINX-0164 não tem sobreposições com outros grupos norte-coreanos rastreados publicamente", concluiu a **Wiz**.