สรุปสั้น
นักวิจัยจาก Wiz เปิดโปงกลุ่มภัยคุกคามใหม่ชื่อ JINX-0164 ที่โจมตีองค์กรคริปโตเคอร์เรนซีอย่างมีการวางแผน กลุ่มนี้ใช้โปรไฟล์ LinkedIn ปลอมติดต่อนักพัฒนาด้วยข้อเสนอธุรกิจหรือตำแหน่งงาน เพื่อหลอกให้ดาวน์โหลดมัลแวร์ macOS ที่สร้างเอง เคลื่อนไหวมาตั้งแต่กลางปี 2568 ผสมวิศวกรรมสังคม การขโมย credential และการก่อวินาศกรรม supply chain เข้าด้วยกัน มัลแวร์สองตระกูลที่ใช้คือ AUDIOFIX (infostealer/backdoor บน Python) และ MINIRAT (backdoor บน Go) เน้นเป้าหมาย macOS AUDIOFIX ขโมย credential เบราว์เซอร์ ส่วนขยายกระเป๋าคริปโต SSH key token คลาวด์ และข้อมูล clipboard แบบเรียลไทม์ กลุ่มนี้ยังลามผ่าน supply chain ด้วยการฝังโค้ดในแพ็กเกจ npm @velora-dex/sdk และ push โค้ดร้ายเข้า repo ภายในขององค์กร
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 29 พฤษภาคม 2569 ว่า กลุ่มภัยคุกคามใหม่ที่ถูกติดตามในชื่อ JINX-0164 กำลังโจมตีองค์กรคริปโตเคอร์เรนซีอย่างเป็นระบบ โดยใช้โปรไฟล์ LinkedIn ล่อนักพัฒนาให้ดาวน์โหลดมัลแวร์ macOS ที่พัฒนาขึ้นเอง การโจมตีเริ่มจากโปรไฟล์ LinkedIn ที่สร้างมาอย่างแนบเนียน ติดต่อเป้าหมายภายใต้ข้ออ้างโอกาสทางธุรกิจหรือข้อเสนองาน เมื่อสร้างความไว้ใจได้ เหยื่อจะได้รับคำเชิญประชุมที่ลิงก์ไปยังหน้าแพลตฟอร์มประชุมปลอมที่ทำให้ดูเหมือน Microsoft Teams ทีม Wiz CIRT และ Wiz Research ระบุว่ากลุ่มนี้มีแรงจูงใจทางการเงิน และใช้มัลแวร์สองตระกูลคือ AUDIOFIX และ MINIRAT โดยโฟกัสที่อุปกรณ์ macOS AUDIOFIX เป็น infostealer และ backdoor ที่คอมไพล์จาก Python ขโมย credential เบราว์เซอร์ ส่วนขยายกระเป๋าคริปโต SSH key token API คลาวด์ และข้อมูล clipboard แบบเรียลไทม์ ติดต่อ C2 ผ่าน HTTPS เข้ารหัส AES-256-CBC และสลับช่วงเวลา polling แบบสุ่มเพื่อหลบการตรวจจับ มัลแวร์ยังเล็งเซสชันบนแพลตฟอร์มสื่อสารอย่าง Discord, Slack และ Telegram ทำให้ผู้โจมตีมองเห็นชีวิตดิจิทัลของเหยื่อได้กว้าง ผู้โจมตีปกปิดร่องรอยด้วยการเชื่อมต่อผ่าน VPN เชิงพาณิชย์ และดัดแปลง metadata ของ Git commit เพื่อปลอมเป็นนักพัฒนาที่ถูกต้อง แล้ว push โค้ดร้ายเข้า repo ภายใน
วิธีการโจมตี
เมื่อนักพัฒนาคลิกลิงก์ประชุมปลอม AUDIOFIX จะถูกดาวน์โหลดผ่านสคริปต์ bash dropper ที่โฮสต์บนโดเมนอัปเดตไดรเวอร์ปลอม เพย์โหลดปลอมตัวเป็นคอมโพเนนต์เสียงระบบชื่อ coreaudiod และถูกบันทึกเป็น ChromeUpdater เปิดผ่าน launchctl เพื่อสร้าง persistence หลังจากตั้งหลักได้ มัลแวร์เก็บ credential จาก macOS Keychain เบราว์เซอร์ และไฟล์ตั้งค่าคลาวด์ รวมถึง key ของ AWS, GCP, Azure และ token API ของ Cloudflare จากนั้นใช้ GitHub token ดูดความลับจาก CI/CD pipeline ด้วยเครื่องมือโอเพนซอร์สชื่อ nord-stream แล้ว push โค้ดติดมัลแวร์เข้า repo ที่แชร์กัน ทำให้ AUDIOFIX แพร่ไปยังนักพัฒนาทุกคนที่ pull และ build จาก branch นั้น เมื่อ 7 เมษายน 2569 JINX-0164 ยกระดับด้วยการโจมตี supply chain วงกว้าง โดยแอบแก้ไขแพ็กเกจ npm @velora-dex/sdk เวอร์ชัน 4.9.1 (SDK คริปโตยอดนิยม) เพิ่มโค้ดที่ดาวน์โหลดและรันสคริปต์ shell ทุกครั้งที่แพ็กเกจถูก import สคริปต์นั้นปล่อย MINIRAT ซึ่งเป็น backdoor บน Go ขนาดเล็ก ลงทะเบียนเครื่องที่ติดมัลแวร์กับโครงสร้าง C2 เดียวกับ AUDIOFIX มอบการเข้าถึงระยะไกลถาวรและสั่งรันคำสั่ง/ย้ายไฟล์ได้ โดยกรณีนี้มีเพียง credential ของ npm ที่ถูกเจาะ ส่วนซอร์สโค้ดบน GitHub ไม่ถูกแก้ไข

ผลกระทบต่อไทย
ไทยมีองค์กรคริปโต ผู้ให้บริการแลกเปลี่ยน และนักพัฒนา Web3/blockchain จำนวนมาก ซึ่งตรงกับกลุ่มเป้าหมายของ JINX-0164 โดยตรง นักพัฒนาไทยจำนวนไม่น้อยใช้ macOS และรับงานผ่าน LinkedIn การหลอกด้วย “ข้อเสนองาน + นัดประชุม” จึงเป็นกลลวงที่ได้ผลสูงในกลุ่มนี้ ที่อันตรายเป็นพิเศษคือการลามผ่าน supply chain ผ่าน npm — นักพัฒนาไทยที่ใช้ไลบรารีคริปโตจาก npm อาจติดมัลแวร์โดยไม่รู้ตัวแม้ไม่ได้เป็นเป้าหมายตรง เนื่องจากมัลแวร์ขโมย token คลาวด์และ CI/CD การติดมัลแวร์เครื่องนักพัฒนาเครื่องเดียวอาจลามไปทั้ง production และโครงสร้างพื้นฐานองค์กรไทยได้
คำแนะนำ
ระวังข้อเสนองาน/ธุรกิจผ่าน LinkedIn ที่ตามด้วยการนัดประชุมและให้ดาวน์โหลดแอปประชุม — ตรวจสอบโดเมนให้ดีก่อนเสมอ
ดาวน์โหลดแอปประชุม (Teams/Zoom ฯลฯ) จากเว็บทางการเท่านั้น อย่าเชื่อลิงก์ที่ส่งมาในแชต
ติดตั้ง EDR บน macOS (อย่าคิดว่า Mac ปลอดภัยโดยอัตโนมัติ) และเปิด audit logging บนคลาวด์และ version control ทุกแพลตฟอร์ม
เปิด GitHub Vigilant Mode เพื่อจับ commit ที่ไม่ได้เซ็นหรือ committer ปลอม และเฝ้าระวังการใช้ nord-stream
ตรึงเวอร์ชัน (pin) และตรวจสอบ dependency npm ก่อนอัปเดต โดยเฉพาะไลบรารีคริปโต และเฝ้าระวัง postinstall script
หากสงสัยติดมัลแวร์ ให้หมุน credential เพิกถอน token/SSH key และตรวจ LaunchAgents ผิดปกติใน ~/Library/LaunchAgents/
Indicators of Compromise (IoCs)
| ประเภท | Indicator | คำอธิบาย |
|---|---|---|
| SHA-256 | 0a8ab3d16b12d3a453ee5a3208fe04744ad54514ef8ea27bb8fe32679efad270 | MINIRAT ARM64 |
| SHA-256 | 0b028b781950641818800fee2b4bf68e4ef2bcee53fe71a21755275ba10875f5 | MINIRAT x86_64 |
| SHA-256 | 65cba741fe30fa4799fb9002ea8de6d96042a59159dd7c3419c766af24c7a8b4 | AUDIOFIX HTTPS/ARM64 |
| SHA-256 | 0b1a36a31b952341a534fe24890f1ed2921ee259773cff46e4f6273b8c4d5e3a | AUDIOFIX HTTPS/x86_64 |
| SHA-256 | 9c2ce925133a3bf5a924063bbef8df49918d5b7258695c1894cd18c75970157a | Dropper – หน้าแก้ไฟล์เสียงปลอม (apple.driver-store.com) |
| Domain | datahub[.]ink | โดเมน C2 หลัก |
| Domain | cloud-sync[.]online | โดเมน C2 สำรอง |
| Domain | byte-io[.]us | โดเมน C2 สำรอง |
| Domain | apple[.]driver-store[.]com | โดเมนส่งเพย์โหลด |
| Domain | driver-updater[.]net | โดเมนส่งเพย์โหลด |
| Domain | teamicrosoft[.]com | โดเมนประชุมปลอม (เลียนแบบ Teams) |
| Domain | us03-slack[.]online | โดเมนประชุมปลอม (เลียนแบบ Slack) |
| Domain | bitget-meeting[.]com | โดเมนประชุมปลอม |
| IP | 89[.]36[.]224[.]5 | เซิร์ฟเวอร์ส่งเพย์โหลด |
| IP | 208[.]115[.]220[.]17 | เซิร์ฟเวอร์ C2 (datahub.ink) |
| IP | 185[.]175[.]59[.]85 | เซิร์ฟเวอร์ C2 (datahub.ink) |
| File Path | ~/Library/LaunchAgents/com.microsoft.teams.coreaudiod.plist | กลไก persistence (Python RAT) |
| File Path | ~/Library/LaunchAgents/com.apple.Terminal.profiler.plist | กลไก persistence (MINIRAT) |
| File Name | ChromeUpdater | ชื่อที่เพย์โหลด AUDIOFIX ถูกบันทึก |
| File Name | coreaudiod | เพย์โหลดปลอมเป็นไดรเวอร์เสียงระบบ |
| npm Package | @velora-dex/sdk v4.9.1 | แพ็กเกจ npm ที่ถูกฝังโค้ดในการโจมตี supply chain |
| AES Key | v59l2uwlow9s1ebuscgfg9k9r4voxkbs | AES key ที่พบใน AUDIOFIX และ MINIRAT |
หมายเหตุ: indicator ทั้งหมดถูก defang (เช่น [.]) เพื่อกันการ resolve โดยไม่ตั้งใจ ให้ re-fang เฉพาะในระบบ threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM เท่านั้น
