An ninh mạng

Cảnh báo chiến dịch JINX-0164: Hacker giả danh nhà tuyển dụng tấn công macOS

Nhóm tin tặc mới có tên JINX-0164 đang thực hiện các chiến dịch tấn công tinh vi vào các tổ chức tiền điện tử thông qua kỹ thuật social engineering và malware tùy chỉnh trên...

Nguyen Hung
29 Tháng 5, 2026 2 Min Read
3 0

Các nhà nghiên cứu bảo mật từ Wiz vừa phát hiện một chiến dịch tấn công mới do nhóm tin tặc có tên JINX-0164 thực hiện. Mục tiêu chính của nhóm này là các tổ chức trong lĩnh vực tiền điện tử, với mục đích đánh cắp tài sản kỹ thuật số thông qua các kỹ thuật social engineering (kỹ thuật xã hội) tinh vi và các dòng malware tùy chỉnh dành riêng cho macOS.

Table Of Content

Phương thức tấn công: Giả danh nhà tuyển dụng

Theo báo cáo, JINX-0164 đã hoạt động ít nhất từ giữa năm 2025. Nhóm này thường sử dụng các hồ sơ LinkedIn đáng tin cậy để tiếp cận các nhà phát triển phần mềm, mời họ tham gia các cuộc họp trực tuyến. Tại đây, nạn nhân bị dẫn dụ truy cập vào các tên miền giả mạo, được thiết kế giống như các nền tảng hội nghị trực tuyến phổ biến.

Sau khi truy cập, nạn nhân bị lừa tải xuống và thực thi một tệp tin độc hại. Tệp tin này sẽ kích hoạt một script bash, từ đó tải về một loại malware infostealer dựa trên Python và một Remote Access Trojan (RAT) có tên mã là AUDIOFIX. Malware này có khả năng tương thích với cả hệ thống Intel và Apple Silicon, ngụy trang dưới dạng driver âm thanh hệ thống (coreaudiod) để qua mặt người dùng.

Khả năng nguy hiểm của malware

Sau khi xâm nhập thành công vào thiết bị của nạn nhân, AUDIOFIX cho phép kẻ tấn công thực hiện các hành vi nguy hiểm:

  • Đánh cắp dữ liệu: Thu thập thông tin từ trình quản lý mật khẩu, trình duyệt web, iCloud Keychain, SSH keys, và các tệp tin cấu hình.
  • Chiếm đoạt tài khoản: Đánh cắp phiên đăng nhập của Discord, Slack, Telegram và thông tin ví tiền điện tử.
  • Di chuyển ngang (Lateral movement): Xâm nhập vào hệ thống phân phối mã nguồn và hạ tầng phát triển của công ty, từ đó thực hiện các cuộc tấn công chuỗi cung ứng (supply chain attack).
  • Điều khiển từ xa: Thực thi các lệnh shell tùy ý, xóa tệp tin và tải thêm các payload độc hại từ server bên ngoài.

Mối liên hệ với các chiến dịch khác

Ngoài AUDIOFIX, JINX-0164 còn sử dụng một backdoor dựa trên Go có tên là MiniRAT, từng được phát tán qua một gói npm bị nhiễm độc (@velora-dex/sdk). Mặc dù phương thức tấn công và các tên miền giả mạo của JINX-0164 có nhiều điểm tương đồng với các nhóm tin tặc từ Triều Tiên (như BlueNoroff hay UNC1069), các nhà nghiên cứu tại Wiz cho biết hiện chưa có bằng chứng xác thực về sự liên kết hạ tầng giữa nhóm này và các nhóm đã biết.

Các chuyên gia khuyến cáo các tổ chức, đặc biệt là các công ty trong lĩnh vực blockchain và phát triển phần mềm, cần nâng cao cảnh giác trước các lời mời tuyển dụng bất thường và kiểm tra kỹ các tệp tin thực thi trước khi cài đặt trên máy trạm làm việc.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept