Les meilleures analyses crypto directement dans votre boîte mail.
Des développeurs crypto tombent dans le piège de faux appels LinkedIn et perdent le contrôle de leurs pipelines de code
- Des pirates informatiques ont usurpé l'identité de contacts professionnels sur LinkedIn et déployé un logiciel malveillant personnalisé pour macOS afin de cibler les développeurs de cryptomonnaies.
- Le groupe vole des identifiants dedentet compromet les pipelines CI/CD.
- JINX-0164 a mené au moins une attaque confirmée sur la chaîne d'approvisionnement via un paquet npm infecté par un cheval de Troie.
Un groupe de pirates informatiques, connu sous le nom de JINX-0164, contacte des développeurs de cryptomonnaies via LinkedIn et les invite à de fausses réunions qui aboutissent à l'infection de leurs machines par un logiciel malveillant macOS personnalisé.
Le logiciel malveillant vole lesdentde connexion et détourne les processus utilisés par les développeurs pour créer et déployer des logiciels. La société de sécurité cloud Wiz a publié ses conclusions le 27 mai 2026.
Un faux lien de réunion installe le logiciel malveillant AUDIOFIX sur les machines des développeurs
L'équipe d'dent de Wiz a établi un lien entre le groupe et des attaques remontant au moins à la mi-2025.
Les attaquants contactent un développeur sur LinkedIn en utilisant un profil qui semble légitime, proposent un appel professionnel et envoient un lien vers un faux site web imitant Microsoft Teams ou un outil de visioconférence similaire.
AUDIOFIX est un virus macOS qui s'installe discrètement lorsqu'une victime clique sur ce qu'elle croit être une URL de réunion. Il fonctionne sur les Mac Intel et Apple Silicon et est diffusé via un script hébergé sur un faux site Apple. Le virus se configure pour continuer à fonctionner après un redémarrage, se fait passer pour un composant audio système et interagit avec les attaquants via HTTPS.
Une fois installé sur la machine, le logiciel malveillant collecte les mots de passe enregistrés dans le Trousseau d'accès macOS, lesdentdu navigateur, les clés SSH, les jetons d'accès au cloud pour AWS, GCP et Azure, ainsi que les données des portefeuilles de cryptomonnaies. De plus, Wiz a découvert que les attaquants procédaient directement à des tentatives d'hameçonnage pour obtenir les mots de passe et les stocker dans des fichiers chiffrés.
JINX-0164 se distingue des autres voleurs d'informations car il cible les dépôts de code internes et l'infrastructure de développement.
Dans une étude de cas datant du début de l'année 2026, Wiz a documenté comment les attaquants utilisaient des jetons GitHub volés pour extrairetracsecrets des pipelines CI/CD grâce à un outil open source appelé nord-stream. Ils injectaient ensuite leur malware AUDIOFIX dans les dépôts internes, usurpant l'identité de développeurs légitimes en falsifiant les métadonnées des commits Git et en poussant du code malveillant vers les branches principales ou en détournant des branches existantes.
D'autres développeurs ayant utilisé ces dépôts corrompus ont étématicinfectés. Le flux de travail de développement interne de l'organisation est devenu le mécanisme de propagation. Le mode Vigilant de GitHub, qui signale les commits sans signature GPG vérifiée, a détecté l'usurpation d'identité dans au moins un cas.
Le groupe a également mené une attaque confirmée contre la chaîne d'approvisionnement d'un paquet npm public. Le 7 avril 2026, JINX-0164 a introduit un cheval de Troie dans la version 4.9.1 du SDK @velora-dex/sdk, en y injectant une commande encodée en base64 qui récupérait et exécutait un script distant déployant MINIRAT. Il s'agit d'une porte dérobée légère, écrite en Go, axée sur la persistance et l'exécution de commandes à distance.
Les attaquants ciblent cash et le code des développeurs de cryptomonnaies
AUDIOFIX et MINIRAT partagent des domaines de commande et de contrôle tels que datahub[.]ink, cloud-sync[.]online et byte-io[.]us. Les attaquants font transiter leur activité par Mullvad VPN, Astrill VPN et ExpressVPN afin de masquer leur véritable emplacement.
Wiz a relevé certaines similitudes tactiques avec les groupes de menaces nord-coréens UNC1069 et Sapphire Sleet, mais aucun chevauchement direct d'infrastructures. Ils qualifient JINX-0164 d'acteur de menace distinct et motivé par des intérêts financiers.
En mai, des pirates informatiques ont compromis plus de 170 paquets npm et PyPI, dont la bibliothèque officielle Mistral AI pour Python. Cette attaque a exposé des jetons GitHub etdentcloud appartenant à des développeurs de cryptographie et d'IA. Il s'agissait également du premier cas documenté de paquets malveillants comportant des attestations de provenance SLSA de niveau de compilation 3 valides, ce qui a compromis le modèle de confiance cryptographique destiné à vérifier l'intégrité des compilations.
Le piratage des développeurs de cryptomonnaies et d'IA permet généralement de récupérer cash et du code précieux. Les laboratoires et entreprises de cryptomonnaies doivent renforcer leurs mesures de cybersécurité et examiner leurs pipelines CI/CD afin de détecter tout accès non autorisé ou activité malveillante. Les actions non autorisées sur GitHub, les commits avec des signatures non vérifiées et les connexions VPN inhabituelles sont autant de signaux d'alerte. Les développeurs participant à des réunions organisées via LinkedIn doivent analyser leurs ordinateurs à la recherche de virus.
Si vous lisez ceci, vous avez déjà une longueur d'avance. Restez-y grâce à notre newsletter.
FAQ
Qu'est-ce que JINX-0164 ?
JINX-0164 est un acteur de menace à motivation financièredentpar Wiz qui est actif depuis au moins le milieu de l'année 2025.
Comment débute l'attaque JINX-0164 ?
Les attaquants contactent des développeurs sur LinkedIn en utilisant des profils crédibles, proposent une réunion virtuelle et envoient un lien vers un domaine malveillant. Lorsque la victime exécute le faux logiciel de réunion, celui-ci installe un logiciel malveillant macOS appelé AUDIOFIX.
Que doivent faire les développeurs de cryptomonnaies s'ils soupçonnent une compromission ?
Les développeurs doivent renouveler régulièrement leurs jetons GitHub, clés SSH,dentcloud et clés de portefeuilles cryptographiques. Ils doivent auditer les pipelines CI/CD afin de détecter toute activité non autorisée et vérifier les dépôts pour repérer les commits non vérifiés.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Randa Moses
Randa Moses est rédactrice et journaliste chez Cryptopolitan où elle couvre les technologies, l'intelligence artificielle, la robotique, les cryptomonnaies, les arnaques et le piratage informatique. Elle travaille dans le secteur des cryptomonnaies depuis 2017 et a notamment travaillé chez Forward Protocol, AmaZix et Cryptosomniac. Randa est diplômée en génie électrique ettronde l'Université de Bradford.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)