JINX-0164: ภัยคุกคามใหม่ที่ใช้ Recruiter ปลอมและมัลแวร์ macOS หลอกลวงนักพัฒนาคริปโต

คลังอาวุธมัลแวร์ macOS แบบสองขั้นตอน

หลังจากเหยื่อรันไฟล์ล่อลวงเริ่มต้น JINX-0164 จะส่งมัลแวร์ macOS ที่ถูกสร้างขึ้นโดยเฉพาะ Wiz ระบุว่ามีสององค์ประกอบที่ใช้ในแคมเปญนี้

AUDIOFIX: โปรแกรมขโมยข้อมูลที่เขียนด้วย Python

AUDIOFIX คือโปรแกรมขโมยข้อมูลที่เขียนด้วย Python ซึ่งสร้างขึ้นสำหรับ macOS โดยเฉพาะและถูกส่งผ่านไฟล์ล่อลวงทางวิศวกรรมสังคม หน้าที่หลักของมันคือค้นหาและขโมยข้อมูลกระเป๋าคริปโตเคอร์เรนซี, Private Key และข้อมูลลับของนักพัฒนาจากเครื่องของเหยื่อ

MINIRAT: โทรจันควบคุมระยะไกลที่เขียนด้วย Go

MINIRAT คือ RAT (Remote Access Trojan) สำหรับ macOS ที่เขียนด้วย Go ซึ่งมีคุณสมบัติครบครันและให้การเข้าถึงแบบ Backdoor อย่างต่อเนื่อง ความสามารถของมันรวมถึงการรันคำสั่ง Shell ตามอำเภอใจ การขโมยไฟล์ และความสามารถในการดาวน์โหลดและเปิดใช้เพย์โหลดลำดับถัดไป

โทรจันตัวนี้ใช้เทคนิคการหลบซ่อนหลายประการ:

• การหลีกเลี่ยง VM: มันมีการตรวจสอบเพื่อดูว่ากำลังรันอยู่ภายใน Virtual Machine หรือไม่ ซึ่งมีแนวโน้มว่าจะเพื่อหลบเลี่ยง Sandbox สำหรับการวิเคราะห์มัลแวร์อัตโนมัติ
• การเข้ารหัสการสื่อสาร C2: การสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ (Command-and-Control) ดำเนินการผ่าน HTTPS ด้วยการตั้งค่าที่เข้ารหัสแบบ AES
• การคงอยู่อย่างแนบเนียน: MINIRAT จะติดตั้ง LaunchAgent ที่ปลอมตัวเป็นส่วนประกอบระบบของ Apple (com.apple.Terminal.profiler) เพื่อให้แน่ใจว่ามันจะเริ่มทำงานใหม่ทุกครั้งที่ผู้ใช้ล็อกอิน

การโจมตีซัพพลายเชน: วิธีที่ MINIRAT แพร่กระจายผ่าน npm

ช่องทางที่อันตรายอย่างยิ่งสำหรับ MINIRAT คือการโจมตีซัพพลายเชนในระดับ Registry เพียงอย่างเดียว เมื่อวันที่ 7 เมษายน 2026 ผู้คุกคามได้เผยแพร่แพ็คเกจ @velora-dex/sdk เวอร์ชันอันตราย (v9.4.1) ซึ่งเป็นเครื่องมือที่ถูกต้อง ขึ้นบน npm registry

การโจมตีถูกออกแบบมาอย่างแนบเนียน แทนที่จะพึ่งพาสคริปต์ตอนติดตั้งหรือ Hook หลังการติดตั้งที่น่าสงสัย ซึ่งเป็นคำสั่งที่เครื่องมือรักษาความปลอดภัยมักจะจับได้ ผู้โจมตีแทรกโค้ดที่เป็นอันตรายเพียงสามบรรทัดลงใน dist/index.js โดยตรง เพย์โหลดจะทำงานทันทีที่นักพัฒนาใช้คำสั่ง require() หรือ import แพ็คเกจที่ถูกบุกรุกนี้

โค้ดนี้จะดึงสคริปต์ Shell จากระยะไกล ซึ่งจะดาวน์โหลดและติดตั้ง Backdoor MINIRAT บนระบบ macOS โดยใช้เทคนิค LaunchAgent แพ็คเกจนี้ดูเหมือนเป็นชุดเครื่องมือ DeFi ที่มีประโยชน์ ทำให้มันเป็นม้าโทรจันที่มีประสิทธิภาพสูงในการพุ่งเป้าไปยังนักพัฒนาในวงการคริปโต

เหนือกว่าแค่แล็ปท็อป: การจี้ระบบโครงสร้างพื้นฐาน CI/CD

ความทะเยอทะยานของ JINX-0164 ขยายออกไปนอกเหนือจากอุปกรณ์ของนักพัฒนาคนเดียว Wiz รายงานว่าหลังจากได้จุดยืนบนแล็ปท็อปของเหยื่อแล้ว ผู้คุกคามได้เคลื่อนตัวในแนวราบเพื่อบุกรุกระบบ CI/CD pipelines และโครงสร้างพื้นฐานการพัฒนาในวงกว้าง

ขั้นตอนของการโจมตีนี้มีความสำคัญเพราะมันเปลี่ยนแล็ปท็อปที่ถูกบุกรุกเพียงเครื่องเดียวให้กลายเป็นความเสี่ยงที่อาจเกิดขึ้นกับวงจรการส่งมอบซอฟต์แวร์ทั้งหมด การเข้าถึงระบบ Build และที่เก็บโค้ด (Code Repository) จะทำให้ผู้คุกคามสามารถแทรกการเปลี่ยนแปลงที่เป็นอันตรายลงในแอปพลิเคชันภายในที่เชื่อถือได้ หรือแม้กระทั่งเวอร์ชันที่ปล่อยออกไปอย่างเป็นทางการ ซึ่งจะเพิ่มระดับผลกระทบของการบุกรุกอย่างมาก

ความเชื่อมโยงกับเกาหลีเหนือ

ชุมชนด้านข่าวกรองภัยคุกคามไม่ได้เพิกเฉยต่อกลยุทธ์ที่คุ้นเคยซึ่งปรากฏให้เห็น รูปแบบปฏิบัติการของ JINX-0164 นั้นสะท้อนกับแคมเปญที่ถูกระบุว่าเป็นของกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือมาอย่างยาวนาน โดยเฉพาะกลุ่ม Lazarus (ซึ่งติดตามในชื่อ AppleJeus, Contagious Interview หรือ DeceptiveDevelopment) ลักษณะร่วมที่สำคัญ ได้แก่ การใช้ข้อเสนองานปลอมบน LinkedIn, การพุ่งเป้าไปที่นักพัฒนาคริปโต และการมุ่งเน้นอย่างต่อเนื่องไปที่มัลแวร์สำหรับ macOS โดยเฉพาะ

ESET เคยบันทึกไว้ว่ากลุ่มที่เชื่อมโยงกับเกาหลีเหนือใช้แผนการที่เกือบจะเหมือนกันทุกประการเพื่อขโมยคริปโตเคอร์เรนซีและทำวิศวกรรมสังคมกับนักพัฒนาฟรีแลนซ์บน Windows, Linux และ macOS แม้ว่าจะมีความคล้ายคลึงกันในเชิงกลยุทธ์อย่างมาก แต่รายงานอย่างเป็นทางการของ Wiz ยังไม่ได้ระบุอย่างชัดเจนว่าเชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือ โดยคงไว้ซึ่งการระบุแหล่งที่มาอย่างเป็นทางการที่ยังไม่ชัดเจน

แคมเปญนี้เข้ากันได้ดีกับรูปแบบระดับโลกของกลุ่มที่ได้รับการสนับสนุนจากรัฐ ซึ่งใช้พนักงานไอทีและนักพัฒนาเป็นช่องทางเข้าถึงหลัก Mandiant และ GitHub ต่างเคยเผยแพร่ผลการค้นพบเกี่ยวกับกลุ่มอย่าง Jade Sleet และคลัสเตอร์ที่ส่งมัลแวร์ COVERTCATCH ผ่านความท้าทายในการเขียนโค้ดสำหรับการสัมภาษณ์งานปลอมในลักษณะเดียวกัน

เหตุใดแคมเปญนี้จึงเป็นคำเตือนสำหรับปี 2026

JINX-0164 สะท้อนให้เห็นถึงการผสมผสานที่อันตรายของแนวโน้มการโจมตีที่ทวีความรุนแรงขึ้นตลอดปี 2025 และต้นปี 2026 มันรวมเอาวิศวกรรมสังคมแบบเจาะจงเป้าหมาย มัลแวร์ที่สร้างขึ้นเองสำหรับแพลตฟอร์มที่มักถูกมองข้าม (macOS) และการโจมตีซัพพลายเชนผ่าน npm ในระดับ Registry เพียงอย่างเดียว มันยังแสดงให้เห็นถึงความพยายามเชิงรุกที่จะเคลื่อนตัวจากอุปกรณ์ปลายทางเข้าไปยังเครื่องมือพัฒนาที่ใช้ในการสร้าง, build, และกระจายโค้ด

สำหรับทีมรักษาความปลอดภัยในองค์กรคริปโตและ Web3 บทเรียนนี้ชัดเจน: การที่นักพัฒนาคนเดียวหลงกลข้อเสนอที่ดูดีบน LinkedIn เพียงครั้งเดียวสามารถนำไปสู่การบุกรุกเป็นลูกโซ่ ตั้งแต่กระเป๋าเงินส่วนตัวไปจนถึงโครงสร้างพื้นฐานการ Build หลัก ความสามารถในการตรวจจับและตอบสนองนั้นจำเป็นต้องมีการมองเห็นไม่เพียงแต่บนอุปกรณ์ปลายทาง แต่รวมถึง Package Registry, พฤติกรรม ณ เวลาที่ Import และระบบ CI/CD ที่อยู่ถัดลงไปด้วย