Mối đe dọa mạng JINX-0164 rất nguy hiểm

30/05/2026
4 mins read
Mối đe dọa mạng JINX-0164 rất nguy hiểm

JINX-0164 là một mối đe dọa mạng nhắm vào các tổ chức liên quan đến tiền mã hóa, sử dụng hồ sơ LinkedIn để dụ nhà phát triển tải xuống malware macOS tùy chỉnh. Chuỗi tấn công kết hợp social engineering, đánh cắp thông tin xác thực và phá hoại chuỗi cung ứng phần mềm, tạo ra rủi ro bảo mật trực tiếp cho toàn bộ pipeline phát triển.

Nội dung
Tổng quan về chiến dịch JINX-0164
Chuỗi tấn công ban đầu
Phân tích malware AUDIOFIX và MINIRAT
AUDIOFIX
MINIRAT
Kỹ thuật duy trì hiện diện và che giấu
Chuỗi cung ứng phần mềm và xâm nhập qua npm
IOC và dấu hiệu nhận biết
Biện pháp phát hiện và giám sát
Các tín hiệu cần theo dõi

Tổng quan về chiến dịch JINX-0164

Nhóm theo dõi với định danh JINX-0164 hoạt động ít nhất từ giữa năm 2025. Theo báo cáo của Wiz Research, chiến dịch này có động cơ tài chính và tập trung vào thiết bị macOS. Cách tiếp cận của mối đe dọa mạng này là kết hợp mồi nhử việc làm hoặc cơ hội kinh doanh với hạ tầng giả mạo để đưa nạn nhân đến trang tải mã độc.

Báo cáo gốc của Wiz có thể tham khảo tại đây: Wiz Research – Threat actors target crypto orgs.

Chuỗi tấn công ban đầu

Cuộc tấn công bắt đầu bằng một hồ sơ LinkedIn được tạo dựng thuyết phục, nhắn tin tới mục tiêu dưới danh nghĩa cơ hội việc làm hoặc hợp tác kinh doanh. Khi niềm tin đã được thiết lập, nạn nhân nhận được lời mời họp dẫn tới một trang nền tảng hội nghị giả, được thiết kế giống Microsoft Teams hoặc dịch vụ tương tự.

Khi nhấp vào liên kết, hệ thống tải về một công cụ truy cập từ xa dành riêng cho macOS. Mã độc bắt đầu thu thập dữ liệu nhạy cảm ngay khi được thực thi, khiến hệ thống bị xâm nhập gần như ngay lập tức sau bước tải xuống.

Phân tích malware AUDIOFIX và MINIRAT

Nhóm này triển khai hai họ mã độc riêng biệt: AUDIOFIXMINIRAT. Cả hai đều bám chặt vào hệ sinh thái macOS, nhưng mục tiêu vận hành khác nhau.

AUDIOFIX

AUDIOFIX là một infostealer và backdoor viết bằng Python đã biên dịch. Nó thu thập:

  • Thông tin đăng nhập trình duyệt.
  • Tiện ích ví tiền mã hóa.
  • SSH keys.
  • Cloud API tokens.
  • Dữ liệu clipboard theo thời gian thực.

Mã độc giao tiếp với máy chủ command-and-control qua HTTPS được mã hóa bằng AES-256-CBC. Nó cũng có thể chuyển sang các khoảng polling ngẫu nhiên để làm giảm khả năng bị phát hiện. Ngoài ra, AUDIOFIX nhắm tới các phiên hoạt động trên Discord, Slack và Telegram để mở rộng phạm vi thu thập dữ liệu.

MINIRAT

MINIRAT là backdoor nhẹ viết bằng Go. Khác với AUDIOFIX, nó không tự động đánh cắp dữ liệu trên diện rộng, nhưng cung cấp cho kẻ điều khiển truy cập từ xa bền vững, khả năng thực thi lệnh và di chuyển tệp. Hai họ mã độc này cùng dùng chung hạ tầng C2, cho thấy chiến dịch được thiết kế theo hướng mô-đun.

Kỹ thuật duy trì hiện diện và che giấu

Trong một chuỗi xâm nhập kéo dài khoảng hai tuần, tác nhân đe dọa đi từ một tin nhắn LinkedIn đến khi kiểm soát hạ tầng nội bộ. Sau khi người phát triển nhấp vào liên kết họp giả, AUDIOFIX được tải thông qua một bash dropper script đặt trên miền giả mạo cập nhật driver.

Payload được ngụy trang thành thành phần âm thanh hệ thống tên coreaudiod và được lưu dưới tên ChromeUpdater. Sau đó, nó được khởi chạy bằng launchctl để thiết lập persistence trên macOS.

launchctl load ~/Library/LaunchAgents/com.chrome.updater.plist
launchctl start com.chrome.updater

Sau khi có chỗ đứng ban đầu, malware thu thập dữ liệu từ macOS Keychain, trình duyệt và các tệp cấu hình cloud, bao gồm khóa AWS, GCP, Azure và token API của Cloudflare. Đây là bước quan trọng trong chuỗi cảnh báo CVE theo nghĩa rộng của an toàn dữ liệu, dù nội dung gốc không đề cập đến CVE cụ thể.

Để giảm khả năng bị quy kết, tác nhân đe dọa còn:

  • Điều hướng kết nối qua các dịch vụ VPN thương mại.
  • Can thiệp metadata của Git commit để giả mạo nhà phát triển hợp lệ.
  • Đẩy mã độc vào repository nội bộ để biến hạ tầng phát triển thành kênh phân phối mã độc.

Chuỗi cung ứng phần mềm và xâm nhập qua npm

Ngày 7/4/2026, chiến dịch leo thang sang chuỗi cung ứng phần mềm bằng cách sửa đổi phiên bản 4.9.1 của gói npm @velora-dex/sdk. Mã độc được thêm vào sẽ tải và thực thi một shell script mỗi khi package được import trong dự án bất kỳ.

Kịch bản này khiến rủi ro lan rộng sang toàn bộ hệ thống build phụ thuộc vào package bị can thiệp. Trong bối cảnh lỗ hổng zero-day không được nhắc tới, đây vẫn là dạng xâm nhập mạng có hậu quả tương tự ở tầng phát hành phần mềm.

npm install @velora-dex/[email protected]

Shell script sau đó triển khai MINIRAT, tạo kênh truy cập từ xa bền vững cho các hệ thống đã bị ảnh hưởng. Trong sự cố này, chỉ npm credentials bị xâm phạm, còn mã nguồn trên GitHub không bị sửa đổi.

IOC và dấu hiệu nhận biết

Phần nội dung gốc có đề cập IOC nhưng không liệt kê cụ thể địa chỉ IP hay domain. Các chỉ dấu được nêu ở mức hành vi và công cụ như sau:

  • LinkedIn giả mạo dùng để mồi nhử mục tiêu.
  • Trang họp giả mạo giống Microsoft Teams.
  • Miền giả mạo dùng để phát tán payload macOS.
  • AUDIOFIXMINIRAT.
  • Công cụ trích xuất bí mật nord-stream.
  • Hoạt động commit bất thường trong GitHub.
  • Việc sử dụng VPN không quen thuộc từ phía nhà phát triển hoặc quy trình build.

Note: IP address và domain trong tài liệu gốc được làm mờ. Cần giải mã chỉ trong môi trường threat intelligence được kiểm soát như MISP, VirusTotal hoặc SIEM nội bộ.

Biện pháp phát hiện và giám sát

Để phát hiện xâm nhập sớm, các đội bảo mật cần bật audit logging cho cloud platform và hệ thống quản lý mã nguồn. Việc triển khai EDR trên endpoint giúp nhận diện hành vi tải xuống, persistence và truy cập trái phép vào dữ liệu nhạy cảm.

Các tín hiệu cần theo dõi

  • Commit không xác thực hoặc mismatch metadata trong GitHub.
  • Lưu lượng từ các dịch vụ VPN thương mại không nằm trong baseline.
  • Hoạt động bất thường trong CI/CD pipelines.
  • Xuất hiện package publication từ IP lạ.
  • Dấu vết thực thi launchctl bất thường trên macOS.

Việc bật GitHub Vigilant Mode có thể hỗ trợ phát hiện nỗ lực giả mạo nhà phát triển thông qua commit không ký hoặc sai lệch. Trong khi đó, IDS và EDR nên giám sát kết nối HTTPS bất thường tới hạ tầng điều khiển, cùng các tiến trình liên quan đến trình duyệt, Keychain và shell dropper.

# Ví dụ kiểm tra tiến trình và agent persistence trên macOS
launchctl list | grep -i chrome
ps aux | grep -E "coreaudiod|ChromeUpdater|AUDIOFIX|MINIRAT"

Threat intelligence từ báo cáo gốc cho thấy mối đe dọa mạng này không dựa trên một vector đơn lẻ mà phối hợp nhiều bước: lừa đảo, đánh cắp thông tin xác thực, chiếm quyền điều khiển và xâm nhập chuỗi cung ứng. Đây là mô hình tấn công mạng có khả năng lan rộng từ một máy trạm sang toàn bộ môi trường phát triển nếu không có kiểm soát chặt chẽ.

Với các môi trường sử dụng macOS, repository nội bộ và hệ thống build tự động, dấu hiệu quan trọng nhất là các thay đổi không mong đợi trong giai đoạn import package, commit bất thường và xuất hiện tiến trình persistence liên quan đến launchctl. Những chỉ dấu này cần được đưa vào quy tắc phát hiện trong EDR, SIEM và quy trình bản vá bảo mật nội bộ.