- дата публікації
JINX-0164 захоплює комп'ютери розробників криптовалют через фальшиві посилання на зустрічі
- джерело
- сайт
- www.cryptopolitan.com
- відкрити джерело
Група хакерів, відома як JINX-0164, контактує з розробниками криптовалют через LinkedIn, запрошуючи їх на фальшиві зустрічі, що призводять до зараження їхніх комп'ютерів спеціальною шкідливою програмою для macOS.
Ця програма, AUDIOFIX, краде логіни і перехоплює процеси, які використовують розробники для створення та деплойменту програмного забезпечення.
Компанія з кібербезпеки Wiz опублікувала свої висновки 27 травня 2026 року. Зловмисники зв'язуються з розробниками через профілі, що виглядають легітимно, пропонуючи ділову розмову та надсилаючи посилання на фальшивий сайт, схожий на Microsoft Teams.
AUDIOFIX починає установку, коли жертва натискає на посилання, і працює на комп'ютерах з Intel та Apple Silicon.
Вона краде збережені паролі, дані доступу до браузерів, токени доступу до хмарних сервісів, а також інформацію з крипто-гамців. JINX-0164 відрізняється від інших шкідливих програм, оскільки націлюється на внутрішні кодові репозиторії та інфраструктуру розробки.
У дослідженні Wiz було задокументовано, як зловмисники використовували викрадені токени GitHub для отримання секретів з CI/CD конвеєрів, потім впроваджували AUDIOFIX у внутрішні репозиторії, видаючи себе за легітимних розробників. Група також провела успішну атаку на ланцюг постачання через публічний npm пакет, інфікувавши версію 4.9.1 @velora-dex/sdk шкідливим кодом.
JINX-0164 використовує техніки, схожі на північнокорейські загрози, але має власну інфраструктуру.
В травні хакери зламали понад 170 npm і PyPI пакетів, включаючи офіційну бібліотеку Mistral AI, що призвело до викриття токенів GitHub і хмарних даних розробників криптовалют і штучного інтелекту.
Це також стало першим задокументованим випадком, коли шкідливі пакети мали справжні підтвердження SLSA Build Level 3, підриваючи модель криптографічної довіри. Розробникам криптовалютних компаній слід зміцнити заходи з кібербезпеки та перевіряти свої CI/CD конвеєри на наявність несанкціонованого доступу чи шкідливих дій.