JINX-0164: Chân dung kẻ đe dọa mới và mũi tấn công ba mũi nhọn vào giới crypto

Kho vũ khí mã độc kép trên macOS

Sau khi nạn nhân thực thi “mồi nhử” ban đầu, JINX-0164 sẽ thả các payload tùy chỉnh dành riêng cho macOS. Wiz đã xác định được hai thành phần riêng biệt được sử dụng trong chiến dịch.

AUDIOFIX: Công cụ đánh cắp thông tin viết bằng Python

AUDIOFIX là một công cụ đánh cắp thông tin (infostealer) viết bằng Python, được thiết kế đặc biệt cho hệ điều hành macOS và được phát tán thông qua các “mồi nhử” xã hội kể trên . Nhiệm vụ chính của nó là xác định và trích xuất dữ liệu ví tiền mã hóa, khóa riêng tư (private key) và các loại "bí mật" khác của lập trình viên khỏi máy của nạn nhân .

MINIRAT: Cửa hậu truy cập từ xa viết bằng Go

MINIRAT là một Trojan truy cập từ xa (RAT) đầy đủ tính năng, được viết bằng ngôn ngữ Go dành cho macOS, cung cấp quyền truy cập cửa hậu dai dẳng. Khả năng của nó bao gồm thực thi lệnh shell tùy ý, đánh cắp dữ liệu, và tải về rồi khởi chạy các payload thứ cấp .

Trojan này sử dụng một số kỹ thuật ẩn thân tinh vi:

• Chống phân tích máy ảo: Nó bao gồm các bước kiểm tra để xác định xem mình có đang chạy trong môi trường máy ảo hay không, nhằm qua mặt các hộp cát phân tích mã độc tự động .
• Mã hóa lưu lượng C2: Liên lạc với máy chủ điều khiển (C2) được thực hiện qua giao thức HTTPS với cấu hình được mã hóa AES .
• Cơ chế ẩn náu tinh vi: MINIRAT cài đặt một LaunchAgent được ngụy trang dưới dạng một thành phần hệ thống của Apple (com.apple.Terminal.profiler), đảm bảo nó sẽ tự động khởi chạy lại mỗi khi người dùng đăng nhập .

Cuộc tấn công chuỗi cung ứng: Cách MINIRAT phát tán qua npm

Một vector lây nhiễm đặc biệt nguy hiểm của MINIRAT là một cuộc tấn công chuỗi cung ứng thuần túy nhắm vào kho phần mềm (registry). Vào ngày 7 tháng 4 năm 2026, tin tặc đã xuất bản một phiên bản độc hại (v9.4.1) của gói thư viện hợp pháp @velora-dex/sdk lên kho npm .

Cuộc tấn công được thiết kế để lẩn tránh sự phát hiện. Thay vì dựa vào các tập lệnh cài đặt (install script) hoặc các "hook" hậu cài đặt đáng ngờ – những lệnh thường bị các công cụ bảo mật phát hiện – kẻ tấn công chỉ tiêm đúng ba dòng mã độc trực tiếp vào tệp dist/index.js. Payload sẽ được thực thi ngay lập tức khi bất kỳ lập trình viên nào dùng lệnh require() hoặc import với gói thư viện đã bị xâm nhập này .

Đoạn mã này sẽ tìm nạp một tập lệnh shell từ xa, tập lệnh này sau đó sẽ tải về và cài đặt cửa hậu MINIRAT lên hệ thống macOS bằng kỹ thuật LaunchAgent . Gói thư viện này trông giống như một bộ công cụ DeFi hữu ích, biến nó thành một "con ngựa thành Troa" cực kỳ hiệu quả để nhắm mục tiêu vào các lập trình viên trong lĩnh vực crypto.

Vượt ra ngoài máy tính cá nhân: Chiếm quyền cơ sở hạ tầng CI/CD

Tham vọng của JINX-0164 vượt xa việc xâm nhập từng máy lập trình viên đơn lẻ. Wiz báo cáo rằng sau khi giành được chỗ đứng trên máy của nạn nhân, kẻ tấn công đã di chuyển ngang để xâm nhập các pipeline CI/CD và cơ sở hạ tầng phát triển trên diện rộng .

Giai đoạn này của cuộc tấn công mang tính sống còn vì nó biến một chiếc laptop bị xâm nhập thành mối nguy tiềm tàng cho toàn bộ vòng đời phân phối phần mềm. Bằng cách truy cập vào hệ thống build và kho mã nguồn, tin tặc có thể tiêm các thay đổi độc hại vào các ứng dụng nội bộ đáng tin cậy hoặc thậm chí là các bản phát hành chính thức, nhân rộng phạm vi ảnh hưởng của vụ xâm nhập lên một cách đột biến .

Mối liên hệ với Triều Tiên

Cộng đồng tình báo mối đe dọa không bỏ qua những chiến thuật quen thuộc được phơi bày ở đây. Hồ sơ hoạt động của JINX-0164 phản ánh rất sát các chiến dịch từ lâu đã bị quy cho các nhóm tin tặc được nhà nước Triều Tiên hậu thuẫn, đặc biệt là nhóm Lazarus (còn được theo dõi với các tên AppleJeus, Contagious Interview, hoặc DeceptiveDevelopment). Đặc điểm chung bao gồm mồi nhử việc làm giả trên LinkedIn, nhắm mục tiêu vào các lập trình viên tiền mã hóa, và sự tập trung bền bỉ vào mã độc dành riêng cho macOS .

ESET đã ghi nhận các nhóm có liên hệ với Triều Tiên sử dụng "sách lược" gần như y hệt để đánh cắp tiền mã hóa và lừa đảo xã hội nhắm vào các lập trình viên tự do trên cả Windows, Linux và macOS . Dù có sự trùng lặp chiến thuật mạnh mẽ này, báo cáo chính thức của Wiz vẫn dừng lại ở việc công bố một mối liên hệ rõ ràng với nhóm Lazarus của Triều Tiên, giữ cho việc quy kết chính thức vẫn còn bỏ ngỏ .

Chiến dịch này hoàn toàn phù hợp với một khuôn mẫu toàn cầu về việc các nhóm được nhà nước hậu thuẫn sử dụng nhân viên IT và lập trình viên làm vector xâm nhập chính. Mandiant và GitHub đã từng công bố các phát hiện về các nhóm như Jade Sleet và các cụm máy chủ phát tán mã độc COVERTCATCH thông qua các bài kiểm tra lập trình giả mạo tương tự .

Tại sao chiến dịch này là một lời cảnh báo cho năm 2026

JINX-0164 phản ánh sự dung hợp nguy hiểm của các xu hướng tấn công đã và đang tăng tốc trong suốt năm 2025 và đầu năm 2026. Nó kết hợp lừa đảo xã hội có mục tiêu, mã độc tùy chỉnh cho một nền tảng thường bị bỏ qua (macOS), và một cuộc tấn công chuỗi cung ứng npm thuần registry. Nó cũng thể hiện sự thèm muốn ráo riết trong việc di chuyển từ các thiết bị đầu cuối vào chính các công cụ phát triển – thứ tạo ra, xây dựng và phân phối mã nguồn.

Đối với các đội ngũ bảo mật tại các tổ chức tiền mã hóa và Web3, bài học thật hiển nhiên: chỉ cần một lập trình viên sa vào một lời chào mời bóng bẩy trên LinkedIn cũng có thể dẫn đến một chuỗi các xâm nhập domino, từ ví cá nhân đến hạ tầng build cốt lõi. Khả năng phát hiện và phản ứng đòi hỏi tầm nhìn không chỉ trên thiết bị đầu cuối, mà còn vào các kho gói phần mềm, hành vi tại thời điểm import, và các hệ thống CI/CD ở phía hạ nguồn.