Campanha financeiramente motivada usa engenharia social em recrutamento, malware personalizado para macOS e acesso a infraestrutura de desenvolvimento para tentar roubar ativos digitais.
| Componente | Funcionários e desenvolvedores de organizações de criptomoedas, estáções macOS, sistemas internos de distribuição de código, infraestrutura de desenvolvimento e pacote npm @velora-dex/sdk em versão comprometida. |
| Vetor | Abordagem por perfis verossímeis no LinkedIn, convite para reunião virtual, domínio falso de teleconferência, erro técnico simulado e instalação de suposto reparo que entrega malware para macOS. |
| Impacto | Roubo de credenciais, chaves SSH, dados de navegadores, arquivos do iCloud Keychain, sessões ativas de comunicação, informações de carteiras de criptomoedas, execução remota de comandos e tentativa de comprometer outros endpoints por meio de infraestrutura de desenvolvimento. |
| Prioridade | Investigar estáções macOS de desenvolvedores expostos a abordagens de recrutamento, revisar pipelines e sistemas de distribuição de código, rotacionar segredos acessíveis nos endpoints e bloquear artefatos associados à cadeia AUDIOFIX e MiniRAT. |
| Artefatos | Malware Python AUDIOFIX, backdoor em Go MiniRAT, nome de driver falso coreaudiod, arquivo salvo como ChromeUpdater e domínio defangado apple.driver-store[.]com. |
| Atribuição | A atividade é acompanhada como JINX-0164, um ator antes não documentado, ativo ao menos desde meados de 2025 e avaliado como financeiramente motivado; não há sobreposição de infraestrutura confirmada com grupos norte-coreanos rastreados publicamente. |
A campanha atribuída a JINX-0164 combina engenharia social direcionada, malware sob medida para macOS e interesse explícito em ambientes de desenvolvimento usados por empresas de criptomoedas. O objetivo descrito é viabilizar roubo de ativos digitais, não apenas obter acesso inicial. O operador aborda profissionais por temas de recrutamento, conduz a vítima para uma interação de reunião falsa e usa o suposto problema técnico como pretexto para instalação de software malicioso. A escolha de desenvolvedores como alvo aumenta o risco porque esses usuários frequentemente mantêm chaves SSH, credenciais de repositórios, tokens de automação, configurações de nuvem, histórico de console e acesso a sistemas que distribuem código para outros endpoints.
O conjunto observado inclui o infostealer e trojan de acesso remoto AUDIOFIX, implementado em Python para macOS, e o backdoor MiniRAT, escrito em Go e associado a uma versão comprometida do pacote npm @velora-dex/sdk. A operação também menciona tentativa de movimentação a partir de notebooks comprometidos para sistemas internos de distribuição de código e infraestrutura de desenvolvimento. Em pelo menos um caso, a atividade foi caracterizada como ataque à cadeia de suprimentos, porque o caminho de execução deixou de se limitar ao endpoint inicial e passou a envolver alteração ou distribuição de código capaz de afetar outros usuários ou ativos técnicos.
O fluxo começa com perfis de LinkedIn com aparência crível, usados para iniciar contato com vítimas em organizações de criptomoedas ou com desenvolvedores ligados ao ecossistema. A isca oferece uma oportunidade profissional e conduz a uma reunião virtual. A etapa seguinte leva o alvo a um domínio fraudulento que imita um provedor de teleconferência. Quando a interação falha de forma simulada, a página instrui a vítima a baixar um suposto componente de correção. Esse desenho reduz a fricção psicológica da instalação, porque o usuário acredita estar resolvendo um erro necessário para continuar uma conversa de recrutamento.
Após a instalação, a cadeia recupera um script de um domínio falso de loja de drivers, citado de forma defangada como apple.driver-store[.]com. O script seleciona carga compatível com Intel e Apple Silicon, mascarando o artefato como um driver de áudio do sistema chamado coreaudiod. O arquivo também aparece salvo como ChromeUpdater, o que sugere tentativa de se misturar a nomes familiares de atualização ou componentes de sistema. A execução é vinculada ao mecanismo de inicialização do macOS, sem que seja necessário publicar comandos operacionais para entender o risco defensivo: o malware busca permanecer ativo e obter capacidade de coleta, controle e recuperação de novas cargas.
O AUDIOFIX coleta dados sensíveis do endpoint comprometido. A lista observada inclui credenciais de gerenciadores de senhas, navegadores e arquivos do iCloud Keychain, credenciais administrativas locais, chaves SSH, arquivos de configuração, histórico de console, informações de extensões de criptomoedas no navegador, endereços de carteiras e sessões ativas do Discord, Slack e Telegram. Além de coleta, o malware oferece comandos para reconhecimento manual, exfiltração, execução arbitrária de comandos de shell, exclusão de arquivos e busca de cargas adicionais em servidor externo. A combinação transforma o endpoint em ponto de entrada para credenciais, infraestrutura interna e ativos financeiros.
O segundo componente relevante, MiniRAT, foi distribuído por uma versão comprometida do pacote npm @velora-dex/sdk, uma ferramenta legítima de DeFi usada em operações como swaps de tokens, ordens limitadas e delta trading na plataforma descentralizada VeloraDEX. A versão envenenada baixava um script remoto que entregava um binário específico para macOS. O backdoor permite envio de arquivos, execução arbitrária de comandos e obtenção de cargas ou ferramentas adicionais em domínios controlados pelo operador. Esse vetor amplia o problema para ambientes de build, caches de dependência e estáções de desenvolvedores que confiaram no pacote comprometido.
A superfície principal é formada por empresas de criptomoedas e desenvolvedores com acesso a código, carteiras, automações de implantação, repositórios e sistemas internos de distribuição. O risco não está apenas no usuário que instala a falsa correção. Quando credenciais de desenvolvimento, chaves SSH e sessões de colaboração são capturadas, o operador pode tentar alcançar repositórios privados, sistemas de build, canais internos e artefatos distribuídos a outros endpoints. A menção a comprometimento de infraestrutura de CI/CD exige revisão de identidade, permissões e alterações recentes no código, principalmente quando partem de estáções macOS de usuários recrutados ou abordados fora de fluxos corporativos normais.
Ambientes que permitem instalação local sem revisão, preservam chaves de produção em endpoints de desenvolvedores ou mantêm sessões persistentes em ferramentas de comunicação ficam mais expostos. O uso de nomes como coreaudiod e ChromeUpdater também pressiona equipes de resposta a distinguir componentes legítimos de arquivos colocados fora dos caminhos esperados. A relação com o pacote @velora-dex/sdk exige atenção adicional em projetos JavaScript que dependem de bibliotecas DeFi, porque a execução maliciosa pode ocorrer durante instalação, atualização ou uso de dependências comprometidas.
- Estáções macOS de desenvolvedores abordados por propostas de trabalho ou reuniões técnicas inesperadas.
- Ambientes com chaves SSH, credenciais administrativas locais, arquivos de configuração e histórico de console armazenados no endpoint.
- Repositórios, sistemas de distribuição de código, pipelines de CI/CD e caches de dependências que tiveram contato com o pacote
@velora-dex/sdkem versão comprometida. - Extensões de navegador e carteiras de criptomoedas cujas informações possam estar acessíveis a partir da sessão do usuário comprometido.
A investigação deve começar pela linha do tempo do endpoint macOS: contato de recrutamento, acesso a domínio de teleconferência suspeito, download de suposta correção, criação de artefatos com nomes de sistema e início de processos incomuns. Eventos envolvendo coreaudiod ou ChromeUpdater fora de caminhos esperados merecem prioridade, especialmente quando surgem próximos a conexões com domínio de driver falso ou recuperação de carga externa. A presença de scripts que selecionam arquitetura Intel ou Apple Silicon também é sinal de cadeia preparada para cobrir a base moderna de dispositivos macOS.
Na infraestrutura de desenvolvimento, a busca deve cobrir alterações de código não explicadas, commits originados de contas de desenvolvedores recém-comprometidas, publicações de pacotes fora do processo normal, execução de scripts de instalação inesperados e acesso a segredos logo após uma reunião ou instalação suspeita. Em identidade e colaboração, sessões novas ou persistentes em Discord, Slack e Telegram devem ser correlacionadas com logins incomuns, mudança de dispositivo e uso fora do horário habitual. O objetivo é separar uma instalação isolada de uma tentativa de alcançar distribuição de código, credenciais de carteira ou automação de build.
- Processos ou arquivos chamados
coreaudiodeChromeUpdatercriados em locais incompatíveis com componentes legítimos do macOS. - Conexões para domínio C2 defangado
apple.driver-store[.]comou para domínios que imitam teleconferência e suporte técnico. - Execução de scripts de instalação associados a dependências npm em projetos que usam
@velora-dex/sdk. - Acesso recente a chaves SSH, arquivos do iCloud Keychain, gerenciadores de senhas, histórico de console e configurações de nuvem em estáção macOS comprometida.
- Alterações inesperadas em sistemas de distribuição de código, pipelines de CI/CD ou repositórios vinculadas à conta de um desenvolvedor abordado por recrutamento.
A resposta deve priorizar contenção de credenciais e integridade da cadeia de desenvolvimento. Estáções macOS suspeitas precisam ser isoladas para aquisição forense, com preservação de logs, processos, artefatos de inicialização e histórico de downloads. Em paralelo, segredos potencialmente expostos devem ser rotacionados: chaves SSH, tokens de repositório, credenciais de CI/CD, credenciais administrativas locais, sessões de ferramentas de colaboração e acessos relacionados a carteiras ou extensões de criptomoedas. Como o malware tem capacidade de execução de comandos e recuperação de cargas, confiar apenas na remoção do arquivo observado é insuficiente.
No lado de engenharia, equipes devem revisar dependências, lockfiles, caches e artefatos gerados quando houver uso do pacote @velora-dex/sdk em janela compatível com a versão comprometida. Builds produzidos no período de exposição devem ser tratados como potencialmente contaminados até validação de origem, integridade e trilha de publicação. Controles de redução de risco incluem instalação de software por allowlist, bloqueio de execução de scripts não aprovados em endpoints de desenvolvedores, autenticação forte para repositórios e pipelines, segredos de curta duração e separação entre estáção de trabalho, assinatura de código e publicação de pacotes.
A atribuição deve ser tratada com cautela. A campanha compartilha temas vistos em operações contra criptomoedas e desenvolvedores, inclusive uso de VPN, domínios de spoofing e iscas de entrevista, mas o material disponível não confirma sobreposição de infraestrutura com grupos norte-coreanos rastreados publicamente. A defesa deve focar os TTPs observáveis, a cadeia macOS, os artefatos de supply chain e a exposição de credenciais, em vez de depender de uma atribuição geopolítica para definir severidade.
- Isolar endpoints macOS suspeitos e preservar artefatos antes de limpeza ou reinstalação.
- Rotacionar chaves SSH, tokens de CI/CD, credenciais de repositório, sessões de colaboração e credenciais administrativas locais expostas.
- Auditar repositórios, pipelines, pacotes publicados e sistemas de distribuição de código acessados a partir de contas comprometidas.
- Revisar uso de
@velora-dex/sdk, lockfiles e caches de dependência em projetos afetados, reconstruindo artefatos a partir de fontes verificadas. - Bloquear domínios de teleconferência e driver falsos já identificados, mantendo indicadores defangados em listas internas de detecção e resposta.
0 Comentários