294/69 (IT) ประจำวันศุกร์ที่ 29 พฤษภาคม 2569
นักวิจัยจาก Wiz รายงานการโจมตีของกลุ่มภัยคุกคามที่ติดตามในชื่อ JINX-0164 ซึ่งมุ่งเป้าไปยังองค์กรด้านคริปโตเคอร์เรนซี โดยใช้เทคนิค Social Engineering ผ่าน LinkedIn หรือการแอบอ้างเป็นนายหน้า คู่ค้าทางธุรกิจ เพื่อชักชวนเหยื่อเข้าร่วมประชุมออนไลน์ ก่อนนำไปยังโดเมนปลอมที่เลียนแบบบริการประชุมไกล และหลอกให้ดาวน์โหลดไฟล์อันตรายบน macOS
เมื่อเหยื่อรันไฟล์ดังกล่าว ระบบจะดาวน์โหลดมัลแวร์ macOS ที่ Wiz เรียกว่า AUDIOFIX ซึ่งเป็นมัลแวร์ประเภท infostealer และ Remote Access Trojan (RAT) ที่พัฒนาด้วย Python โดยสามารถขโมยข้อมูลสำคัญ เช่น ข้อมูลจาก password manager, macOS Keychain, browser credentials, SSH keys, configuration files, session ของแอปสื่อสาร และข้อมูลที่เกี่ยวข้องกับกระเป๋าเงินคริปโต รวมถึงสามารถรันคำสั่งจากระยะไกลและดึง payload เพิ่มเติมจากเซิร์ฟเวอร์ภายนอกได้
รายงานยังระบุว่า JINX-0164 ไม่ได้มุ่งขโมยข้อมูลจากเครื่องผู้ใช้เพียงอย่างเดียว แต่ยังพยายามเคลื่อนย้ายภายในระบบไปยังโครงสร้างพื้นฐานด้านการพัฒนา เช่น ระบบกระจายโค้ดและ CI/CD infrastructure โดยในบางกรณีมีการแก้ไข source code หรือฝัง payload ลงใน repository เพื่อให้เครื่องของนักพัฒนารายอื่นติดมัลแวร์เมื่อดึงโค้ดไปใช้งาน นอกจากนี้ กลุ่มดังกล่าวยังเคยเกี่ยวข้องกับกรณี supply chain ผ่านแพ็กเกจ npm @velora-dex/sdk เวอร์ชันที่ถูกฝังโค้ดอันตรายเพื่อดาวน์โหลดมัลแวร์ MiniRAT เพิ่มเติม
แหล่งข่าว https://thehackernews.com/2026/05/jinx-0164-targets-cryptocurrency-firms.html