Группа хакеров, известная как JINX-0164, связывалась с разработчиками криптовалют через LinkedIn и приглашала их на фальшивые встречи, которые приводили к заражению их компьютеров специальным вредоносным ПО для macOS.
Вредоносное ПО крадет учетные данные для входа и захватывает конвейеры, которые разработчики используют для создания и развертывания программного обеспечения. Компания Wiz, занимающаяся облачной безопасностью, опубликовала свои выводы 27 мая 2026 года.
Поддельная ссылка на встречу приводит к попаданию вредоносного ПО AUDIOFIX на компьютеры разработчиков
Группа реагирования на инциденты Wiz связала группу с атаками, произошедшими как минимум в середине 2025 года.
Злоумышленники обращаются к разработчику в LinkedIn, используя профиль, который выглядит законным, предлагают деловой звонок и отправляют ссылку на поддельный веб-сайт, похожий на Microsoft Teams или аналогичный инструмент для видеоконференций.
AUDIOFIX — это вирус macOS, который автоматически запускает установку, когда жертва нажимает на то, что, по ее мнению, является URL-адресом собрания. Он работает на компьютерах Mac Intel и Apple Silicon и доставляется через скрипт, хранящийся на поддельном сайте Apple. Вирус настраивает себя на продолжение работы после перезагрузки, выдает себя за системный аудиокомпонент и взаимодействует с злоумышленниками по протоколу HTTPS.
Как только он оказывается на компьютере, он собирает сохраненные пароли из связки ключей macOS, учетные данные браузера, ключи SSH, токены доступа к облаку для AWS, GCP и Azure, а также данные криптокошелька. Кроме того, Wiz обнаружила, что злоумышленники напрямую выманивали пароли и хранили их в зашифрованных файлах.
JINX-0164 отличается от других информационных воров тем, что он атакует внутренние репозитории кода и инфраструктуру разработки.
В тематическом исследовании начала 2026 года компания Wiz задокументировала, как злоумышленники использовали украденные токены GitHub для извлечения секретов из конвейеров CI/CD с помощью инструмента с открытым исходным кодом под названием nord-stream. Затем они внедрили вредоносное ПО AUDIOFIX во внутренние репозитории, выдавая себя за законных разработчиков, подделывая метаданные коммитов Git и распространяя вредоносный код в основные ветки или перехватывая существующие.
Другие разработчики, которые извлекали и собирали данные из этих отравленных репозиториев, заразились автоматически. Механизмом распределения стал собственный рабочий процесс разработки организации. Режим Vigilant Mode GitHub, который помечает коммиты без проверенных подписей GPG, как минимум в одном случае выявил подделку.
Группа также осуществила подтвержденную атаку на цепочку поставок общедоступного пакета npm. 7 апреля 2026 года JINX-0164 заразил версию 4.9.1 @velora-dex/sdk, внедрив команду в кодировке Base64, которая извлекала и выполняла удаленный сценарий развертывания MINIRAT. Это легкий бэкдор на основе Go, ориентированный на постоянство и удаленное выполнение команд.
Злоумышленники нацелены на наличные деньги и код разработчиков криптовалют
AUDIOFIX и MINIRAT используют общие домены управления и контроля, такие как datahub.[.]рукописный ввод, синхронизация с облаком[.]онлайн и byte-io[.]нас. Злоумышленники направляют свою деятельность через Mullvad VPN, Astrill VPN и ExpressVPN, чтобы скрыть свое реальное местоположение.
Wiz обнаружил некоторое тактическое сходство с северокорейскими кластерами угроз UNC1069 и Sapphire Sleet, но не обнаружил прямого перекрытия инфраструктуры. Они называют JINX-0164 отдельным и финансово мотивированным злоумышленником.
В мае хакеры взломали более 170 пакетов npm и PyPI, включая официальную библиотеку Mistral AI Python. В результате этой атаки были раскрыты токены GitHub и облачные учетные данные, принадлежащие разработчикам криптовалют и искусственного интеллекта. Это также был первый задокументированный случай, когда вредоносные пакеты имели действительные свидетельства происхождения SLSA Build Level 3, что нарушало модель криптографического доверия, предназначенную для проверки целостности сборки.
Взлом разработчиков криптовалют и искусственного интеллекта обычно приводит к получению денег и ценного кода. Криптолаборатории/компании должны усилить меры кибербезопасности и проверять свои конвейеры CI/CD на предмет любого несанкционированного доступа или вредоносных действий. Несанкционированные действия GitHub, коммиты с непроверенными подписями и необычные VPN-соединения — все это предупреждающие знаки. Разработчики, которые присоединились к собраниям, отправленным через LinkedIn, должны проверить свои компьютеры на наличие вирусов.
