Неизвестная группа злоумышленников нацелилась на разработчиков криптовалют, для чего использует поддельные объявления о наборе персонала в LinkedIn. Они обманом заставляют их установить на свои компьютеры вредоносное ПО и тем самым получают доступ для компрометации всей инфраструктуры разработки программного обеспечения компании.
Компания Wiz, специализирующаяся на информационной безопасности, назвала эту группу JINX-0164. Она отслеживает её деятельность как минимум с середины 2025 года. Группа совершила множество успешных вторжений в криптовалютные организации, в одном случае пытаясь осуществить полномасштабную атаку на цепочку поставок, распространяя вредоносный код через широко используемый общедоступный пакет.
Атака проходит по следующей схеме, а на весь процесс уходит в среднем две недели.
- Через профиль в LinkedIn они обращаются с предложением работы или деловым предложением.
- Кандидату назначают виртуальную встречу через платформу, которая выглядит как Microsoft Teams.
- Ссылка на встречу ведёт на поддельный домен, где под видом решения проблемы со звуком или другой технической неполадки загружается вредоносный файл.
- Файл устанавливает AUDIOFIX, специально разработанное вредоносное ПО на основе Python с полными возможностями удалённого доступа.
- Злоумышленники собирают пароли, ключи SSH, учётные данные браузера, расширения криптовалютных кошельков, ключи API AWS и облачных сервисов, а также активные сессии из Discord, Slack и Telegram.
- Токены GitHub, извлечённые из скомпрометированной машины, используются для доступа к внутренним репозиториям кода.
- Вредоносный код внедряется непосредственно в конвейер разработки, заражая всех остальных разработчиков, которые получают данные из этих репозиториев.
7 апреля 2026 года JINX-0164 троянизировал версию 9.4.1 пакета npm @velora-dex/sdk, широко используемого SDK для криптовалют. В пакет были добавлены три строки вредоносного кода, которые незаметно загружали легковесный бэкдор под названием MINIRAT при каждом импорте пакета любым разработчиком.
Атака была направлена на учётные данные npm, а не на исходный код GitHub, поэтому репозиторий выглядел чистым, в то время как опубликованный пакет был скомпрометирован.
В Wiz выявили несколько индикаторов, которые помогли обнаружить атаку, неподтверждённые значки коммитов в режиме Vigilant Mode на GitHub, несоответствия между историей ключей GPG и авторами коммитов.
Исследователи отметили тактическое сходство с северокорейскими группами угроз, включая UNC1069 и Sapphire Sleet, хотя никакого пересечения инфраструктуры с ними выявлено не было.
Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.
