En el mundo de las criptomonedasla seguridad es una preocupación constante. Recientemente, un grupo de hackers conocido como JINX-0164 ha estado llevando a cabo una campaña sofisticada contra desarrolladores de blockchain.
Este grupo de ciberdelincuentes está utilizando una combinación de ingeniería social en LinkedInmalware para macOS y compromiso de CI/CD para robar credenciales de nubes y desarrollo, alterar repositorios de código y publicar paquetes npm maliciosos.
La campaña de JINX-0164
La investigación realizada por Wiz CIRT ha revelado que la campaña de JINX-0164 comienza con un contacto inicial en LinkedIn. Los atacantes envían un enlace malicioso que, al ser clicado, descarga un payload para macOS.
Una vez dentro del sistema, los hackers utilizan un RAT personalizado en Python conocido como AUDIOFIX y un backdoor basado en Go llamado MINIRAT. Estos malwares se comunican con dominios de comando y control codificados para robar credenciales y moverse lateralmente en los repositorios de código fuente.
Además, los atacantes han sido identificados utilizando scripts dropperspersistencia mediante launchctl y la herramienta nord-stream para la exfiltración de secretos. También se han detectado múltiples dominios falsificados, nodos de salida de VPN y un compromiso de la cadena de suministro que involucra el paquete npm @velora-dex/sdk.
Medidas de mitigación
Para protegerse contra esta amenaza, las organizaciones deben implementar varias medidas de seguridad. Entre ellas se incluyen:
- Monitorear sistemas macOS para detectar persistencia mediante launchctl
- Detectar LaunchAgents sospechosos
- Bloquear dominios maliciosos conocidos y servidores de comando y control
- Imponer commits firmados
- Habilitar el Modo Vigilante de GitHub
- Vigilar por commits no verificados o cambios inusuales en los flujos de trabajo de CI/CD
- Limitar el uso de VPN a proveedores aprobados
- Requerir MFA para cuentas en la nube y plataformas de desarrollo
Respuesta a la amenaza
Si se detecta esta actividad, es crucial actuar rápidamente. Las acciones recomendadas incluyen:
- Aíslar inmediatamente el sistema macOS afectado
- Recopilar artefactos forenses
- Revocar cualquier credencial comprometida y tokens de API
- Realizar una revisión completa de los repositorios de código en busca de commits maliciosos
- Eliminar cualquier paquete npm comprometido
- Bloquear los dominios de comando y control identificados
- Actualizar las reglas de firewall para denegar tráfico a las direcciones IP maliciosas
- Notificar a las partes interesadas relevantes
- Considerar el intercambio de inteligencia sobre amenazas con socios confiables de la industria
La campaña de JINX-0164 es un recordatorio de la importancia de la seguridad en el desarrollo de software y la necesidad de estar siempre vigilante contra las amenazas emergentes.
