Gli sviluppatori di criptovalute cadono vittime di false chiamate su LinkedIn e perdono il controllo delle pipeline di codice

Un gruppo di hacker, noto come JINX-0164, ha contattato sviluppatori di criptovalute tramite LinkedIn invitandoli a finti incontri che hanno portato all'infezione dei loro computer con malware personalizzato per macOS.

Il malware ruba ledentdi accesso e dirotta i processi che gli sviluppatori utilizzano per creare e distribuire software. L'azienda di sicurezza cloud Wiz ha pubblicato i risultati della sua ricerca il 27 maggio 2026.

Un falso link per una riunione diffonde il malware AUDIOFIX sui computer degli sviluppatori

Il team di risposta aglident di Wiz ha collegato il gruppo ad attacchi risalenti almeno alla metà del 2025.

I truffatori contattano uno sviluppatore su LinkedIn utilizzando un profilo apparentemente legittimo, propongono una chiamata di lavoro e inviano un link a un sito web fasullo che imita Microsoft Teams o uno strumento di videoconferenza simile.

AUDIOFIX è un virus per macOS che si installa silenziosamente quando la vittima clicca su quello che crede essere un URL di una riunione. Funziona su Mac con processori Intel e Apple Silicon e viene diffuso tramite uno script memorizzato su un falso sito Apple. Il virus si configura per continuare a funzionare anche dopo un riavvio, si spaccia per un componente audio di sistema e interagisce con gli aggressori tramite HTTPS.

Una volta installato sul computer, il malware raccoglie le password salvate nel Portachiavi di macOS, ledentdel browser, le chiavi SSH, i token di accesso al cloud per AWS, GCP e Azure e i dati dei portafogli di criptovalute. Inoltre, Wiz ha scoperto che gli aggressori tentavano direttamente di carpire le password tramite phishing e le memorizzavano in file crittografati.

JINX-0164 si differenzia dagli altri programmi di furto di informazioni perché prende di mira i repository di codice interni e l'infrastruttura di sviluppo.

In un caso di studio risalente all'inizio del 2026, Wiz ha documentato come gli aggressori abbiano utilizzato token GitHub rubati per estrarretracdalle pipeline CI/CD con uno strumento open source chiamato nord-stream. Hanno quindi iniettato il loro malware AUDIOFIX nei repository interni, impersonando sviluppatori legittimi falsificando i metadati dei commit Git e inserendo codice dannoso nei rami principali o dirottando quelli esistenti.

Altri sviluppatori che hanno scaricato e compilato da quei repository infetti sono statimaticcontagiati. Il flusso di lavoro di sviluppo dell'organizzazione stessa è diventato il meccanismo di distribuzione. La modalità Vigilant di GitHub, che segnala i commit privi di firme GPG verificate, ha individuato l'usurpazione di identità almeno in un caso.

Il gruppo ha anche effettuato un attacco confermato alla catena di fornitura di un pacchetto npm pubblico. Il 7 aprile 2026, JINX-0164 ha infettato con un trojan la versione 4.9.1 di @velora-dex/sdk, iniettando un comando codificato in base64 che ha scaricato ed eseguito uno script remoto per la distribuzione di MINIRAT. Si tratta di una backdoor leggera basata su Go, focalizzata sulla persistenza e sull'esecuzione di comandi remoti.

Gli hacker prendono di mira cash e codice degli sviluppatori di criptovalute

AUDIOFIX e MINIRAT condividono domini di comando e controllo come datahub[.]ink, cloud-sync[.]online e byte-io[.]us. Gli aggressori instradano la loro attività attraverso Mullvad VPN, Astrill VPN ed ExpressVPN per nascondere la loro posizione reale.

Wiz ha riscontrato alcune somiglianze tattiche con i gruppi di minacce nordcoreani UNC1069 e Sapphire Sleet, ma non ha trovato alcuna sovrapposizione infrastrutturale diretta. Definiscono JINX-0164 un attore di minaccia distinto e motivato da interessi finanziari.

A maggio, degli hacker hanno compromesso oltre 170 pacchetti npm e PyPI, inclusa la libreria Python ufficiale di Mistral AI. Questo attacco ha esposto token GitHub edentcloud di proprietà di sviluppatori di criptovalute e intelligenza artificiale. Si è trattato inoltre del primo caso documentato di pacchetti dannosi contenenti attestazioni di provenienza SLSA Build Level 3 valide, violando il modello di fiducia crittografica progettato per verificare l'integrità della build.

Attaccare gli sviluppatori di criptovalute e intelligenza artificiale di solito porta al cash e codice prezioso. I laboratori/aziende di criptovalute dovrebbero rafforzare le misure di sicurezza informatica e rivedere le proprie pipeline CI/CD per individuare eventuali accessi non autorizzati o attività dannose. Azioni non autorizzate su GitHub, commit con firme non verificate e connessioni VPN insolite sono tutti segnali di allarme. Gli sviluppatori che hanno partecipato a riunioni inviate tramite LinkedIn dovrebbero eseguire una scansione antivirus sui propri computer.