Los desarrolladores de criptomonedas caen en estafas con llamadas falsas de LinkedIn y pierden el control de sus flujos de código

Un grupo de hackers, conocido como JINX-0164, ha estado contactando a desarrolladores de criptomonedas a través de LinkedIn e invitándolos a reuniones falsas que provocan la infección de sus máquinas con malware personalizado para macOS.

El malware roba lasdentde inicio de sesión y secuestra los procesos que los desarrolladores utilizan para crear e implementar software. La empresa de seguridad en la nube Wiz publicó sus hallazgos el 27 de mayo de 2026.

Un enlace falso a una reunión instala el malware AUDIOFIX en los equipos de los desarrolladores

El equipo de respuesta adent de Wiz vinculó al grupo con ataques que se remontan al menos a mediados de 2025.

Los atacantes contactan a un desarrollador en LinkedIn utilizando un perfil que parece legítimo, le proponen una llamada de negocios y le envían un enlace a un sitio web falso que imita a Microsoft Teams o una herramienta de videoconferencia similar.

AUDIOFIX es un virus para macOS que se instala silenciosamente cuando la víctima hace clic en lo que cree que es la URL de una reunión. Funciona en Macs con procesadores Intel y Apple Silicon y se distribuye mediante un script alojado en un sitio web falso de Apple. El virus se configura para seguir funcionando tras un reinicio, se hace pasar por un componente de audio del sistema e interactúa con los atacantes a través de HTTPS.

Una vez instalado en el equipo, recopila contraseñas guardadas del llavero de macOS,dentdel navegador, claves SSH, tokens de acceso a la nube para AWS, GCP y Azure, y datos de monederos de criptomonedas. Además, Wiz descubrió que los atacantes estaban intentando obtener contraseñas mediante phishing y almacenándolas en archivos cifrados.

JINX-0164 se diferencia de otros programas de robo de información porque ataca los repositorios de código internos y la infraestructura de desarrollo.

En un estudio de caso de principios de 2026, Wiz documentó cómo los atacantes utilizaron tokens de GitHub robados para extraertracde las canalizaciones de CI/CD con una herramienta de código abierto llamada nord-stream. Luego, inyectaron su malware AUDIOFIX en repositorios internos, suplantando la identidad de desarrolladores legítimos mediante la falsificación de metadatos de confirmación de Git y enviando código malicioso a ramas principales o secuestrando ramas existentes.

Otros desarrolladores que descargaron y compilaron desde esos repositorios infectados también se infectaronmatic. El propio flujo de trabajo de desarrollo de la organización se convirtió en el mecanismo de distribución. El Modo Vigilante de GitHub, que marca las confirmaciones que carecen de firmas GPG verificadas, detectó la suplantación de identidad en al menos un caso.

El grupo también llevó a cabo un ataque confirmado a la cadena de suministro de un paquete público de npm. El 7 de abril de 2026, JINX-0164 infectó con un troyano la versión 4.9.1 de @velora-dex/sdk, inyectando un comando codificado en base64 que descargaba y ejecutaba un script remoto para desplegar MINIRAT. Se trata de una puerta trasera ligera basada en Go, centrada en la persistencia y la ejecución remota de comandos.

Los atacantes tienen como objetivo cash y el código de los desarrolladores de criptomonedas

AUDIOFIX y MINIRAT comparten dominios de comando y control como datahub[.]ink, cloud-sync[.]online y byte-io[.]us. Los atacantes enrutan su actividad a través de Mullvad VPN, Astrill VPN y ExpressVPN para ocultar su ubicación real.

Wiz encontró algunas similitudes tácticas con los grupos de amenazas norcoreanos UNC1069 y Sapphire Sleet, pero no halló ninguna superposición directa de infraestructura. Consideran a JINX-0164 un actor de amenazas distinto y con motivaciones financieras.

En mayo, unos hackers comprometieron más de 170 paquetes de npm y PyPI, incluida la biblioteca oficial de Python de Mistral AI. Este ataque expuso tokens de GitHub ydenten la nube pertenecientes a desarrolladores de criptografía e inteligencia artificial. Además, fue el primer caso documentado de paquetes maliciosos que portaban certificados de procedencia SLSA Build Level 3 válidos, lo que rompió el modelo de confianza criptográfica diseñado para verificar la integridad de la compilación.

El hackeo a desarrolladores de criptomonedas e IA suele resultar en cash y código valioso. Los laboratorios y empresas de criptomonedas deben reforzar sus medidas de ciberseguridad y revisar sus pipelines de CI/CD para detectar cualquier acceso no autorizado o actividad maliciosa. Las acciones no autorizadas en GitHub, las confirmaciones con firmas no verificadas y las conexiones VPN inusuales son señales de alerta. Los desarrolladores que participaron en reuniones enviadas a través de LinkedIn deben analizar sus computadoras en busca de virus.