Son analizlere göre, JINX-0164 adlı tehdit aktörü, kripto para sektöründeki firmaları hedef alan karmaşık sosyal mühendislik kampanyaları yürütüyor. Bu saldırılar, özellikle geliştiricilere yönelik sahte işe alım davetleri ve macOS platformuna özgü zararlı yazılımlar kullanılarak gerçekleştiriliyor. 2025 ortalarından beri aktif olduğu değerlendirilen grup, finansal kazanç amacıyla CI/CD altyapılarını hedef alıyor.
Saldırı Zinciri ve Teknik Detaylar
Kampanya, LinkedIn gibi profesyonel ağlarda oluşturulan güvenilir profiller aracılığıyla hedeflere sanal toplantı davetleri gönderilmesiyle başlıyor. Toplantı davetinde yer alan bağlantı, sahte bir telekonferans hizmeti sunan alan adına yönlendiriyor. Kurbanlar buradan, “apple.driver-store[.]com” gibi sahte bir sürücü deposu alanından bash betiği ile Python tabanlı macOS infostealer ve AUDIOFIX adlı uzaktan erişim trojanını indirip çalıştırmaya ikna ediliyor.
Bash betiği, Intel ve Apple Silicon mimarileriyle uyumlu, sistem ses sürücüsü gibi görünen “coreaudiod” adlı zararlıyı ChromeUpdater olarak kaydedip launchctl ile çalıştırıyor. AUDIOFIX, şifre yöneticileri, web tarayıcıları, iCloud Keychain, SSH anahtarları, kripto cüzdan adresleri ve Discord, Slack, Telegram gibi iletişim oturumlarından hassas verileri çalıyor. Ayrıca, komut çalıştırma, dosya silme ve dış sunucudan ek zararlı yük alma gibi işlevlere sahip.
JINX-0164, sahte iş teklifleriyle geliştiricileri hedef alırken, MiniRAT adlı Go diliyle yazılmış bir arka kapı zararlısını da kullanıyor. Bu zararlı, daha önce @velora-dex/sdk adlı meşru bir DeFi paketinin ele geçirilmiş sürümü üzerinden dağıtılmış. MiniRAT, dosya yükleme, rastgele komut çalıştırma ve ek araç indirme yeteneklerine sahip.
Hedef Sistemler ve Riskler
Özellikle kripto para geliştirme ekipleri ve CI/CD altyapıları risk altında. Saldırganlar, ele geçirilen uç noktalardan yatay hareketle kod dağıtım sistemlerine ve geliştirme ortamlarına erişim sağlıyor. Bu durum, tedarik zinciri saldırılarına zemin hazırlayarak yazılım güvenliğini ciddi şekilde tehdit ediyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Çok faktörlü kimlik doğrulama (MFA) kullanarak hesap güvenliğini artırın.
- EDR ve SIEM çözümleri ile uç nokta ve ağ aktivitelerini sürekli izleyin.
- Şüpheli e-posta ve bağlantılar için gelişmiş e-posta güvenliği uygulayın.
- CI/CD ortamlarında erişim yetkilerini minimumda tutup segmentasyon uygulayın.
- VPN ve uzak erişim araçlarının kullanımını sıkı politikalarla yönetin.
- Log kayıtlarını düzenli analiz ederek anormal davranışları tespit edin.
- Yazılım tedarik zincirinde kullanılan paketlerin bütünlüğünü doğrulayın.
- Çalışanları sosyal mühendislik saldırılarına karşı bilinçlendirin.
Teknik Özet
- Kullanılan zararlılar: Python tabanlı infostealer, AUDIOFIX RAT, MiniRAT arka kapısı.
- Hedef sektör: Kripto para firmaları, yazılım geliştirme ekipleri, CI/CD altyapıları.
- Saldırı yöntemi: Sosyal mühendislik (sahte iş teklifi), sahte telekonferans alanları, zararlı yazılım indirme.
- Saldırı zinciri: Sosyal mühendislik → sahte alan adı → bash betiği ile zararlı indirme → veri hırsızlığı ve yatay hareket.
- Önerilen savunma: MFA, EDR, ağ segmentasyonu, düzenli log analizi, çalışan eğitimi.
Bu tür karmaşık saldırılar, özellikle bulut güvenliği ve olay müdahale süreçlerinin önemini artırıyor. Siber güvenlik ekiplerinin, fidye yazılımı ve tedarik zinciri saldırıları gibi tehditlere karşı çok katmanlı savunma stratejileri geliştirmesi kritik.