최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- 해커들이 링크드인에서 비즈니스 관계자를 사칭하고 암호화폐 개발자를 표적으로 삼아 맞춤형 macOS 악성코드를 배포했습니다.
- 해당 그룹은dent증명을 훔치고 CI/CD 파이프라인을 손상시킵니다.
- JINX-0164는 트로이목마에 감염된 npm 패키지를 통해 최소 한 건의 공급망 공격을 실행한 것으로 확인되었습니다.
JINX-0164라는 해커 그룹이 링크드인을 통해 암호화폐 개발자들에게 연락하여 가짜 회의를 제안한 후, 그들의 컴퓨터에 맞춤형 macOS 악성코드를 감염시키는 수법을 사용하고 있습니다.
해당 악성 소프트웨어는 로그인dent증명을 탈취하고 개발자가 소프트웨어를 빌드 및 배포하는 데 사용하는 파이프라인을 장악합니다. 클라우드 보안 회사인 Wiz는 2026년 5월 27일에 이러한 조사 결과를 발표했습니다.
가짜 회의 링크를 통해 개발자 컴퓨터에 AUDIOFIX 악성코드가 설치됩니다
위즈의dent 대응팀은 해당 그룹이 적어도 2025년 중반부터 공격에 연루되었다고 밝혔습니다.
공격자들은 합법적으로 보이는 프로필을 사용하여 링크드인에서 개발자에게 접근한 후, 업무 관련 통화를 제안하고 마이크로소프트 팀즈 또는 유사한 화상 회의 도구처럼 보이도록 만든 가짜 웹사이트 링크를 보냅니다.
AUDIOFIX는 사용자가 회의 URL이라고 생각하고 클릭한 링크를 클릭했을 때 자동으로 설치를 시작하는 macOS 바이러스입니다. 인텔 및 애플 실리콘 기반 Mac에서 작동하며, 가짜 애플 사이트에 저장된 스크립트를 통해 유포됩니다. 이 바이러스는 재부팅 후에도 계속 작동하도록 설정되어 있으며, 시스템 오디오 구성 요소인 것처럼 위장하고 HTTPS를 통해 공격자와 상호 작용합니다.
일단 시스템에 침투하면 macOS 키체인에 저장된 암호, 브라우저dent증명, SSH 키, AWS, GCP 및 Azure의 클라우드 액세스 토큰, 그리고 암호화폐 지갑 데이터를 수집합니다. 또한 Wiz는 공격자들이 직접 피싱 공격을 통해 암호를 탈취하고 암호화된 파일에 저장하는 것을 발견했습니다.
JINX-0164는 내부 코드 저장소와 개발 인프라를 공격한다는 점에서 다른 정보 탈취 악성코드와 차별화됩니다.
2026년 초에 진행된 사례 연구에서 Wiz는 공격자들이 탈취한 GitHub 토큰을 사용하여trac이라는 오픈 소스 도구로 CI/CD 파이프라인에서 비밀 정보를 nord-stream. 그런 다음 공격자들은 Git 커밋 메타데이터를 위조하고 악성 코드를 메인 브랜치에 푸시하거나 기존 브랜치를 탈취하여 합법적인 개발자를 사칭함으로써 내부 저장소에 AUDIOFIX 악성코드를 주입했습니다.
해당 악성 저장소에서 코드를 가져오고 빌드한 다른 개발자들도matic으로 감염되었습니다. 조직 자체의 개발 워크플로가 감염 확산 메커니즘이 된 것입니다. GitHub의 감시 모드(Vigilant Mode)는 검증된 GPG 서명이 없는 커밋을 표시하여 적어도 한 건의 사례에서 이러한 사칭 행위를 적발했습니다.
해당 그룹은 공개 npm 패키지에 대한 공급망 공격도 실행한 것으로 확인되었습니다. 2026년 4월 7일, JINX-0164는 @velora-dex/sdk 버전 4.9.1에 트로이목마를 심어 base64로 인코딩된 명령어를 삽입했습니다. 이 명령어는 MINIRAT을 배포하는 원격 스크립트를 가져와 실행했습니다. MINIRAT은 지속성 확보와 원격 명령어 실행에 초점을 맞춘 Go 기반의 경량 백도어입니다.
공격자들이 암호화폐 개발자들의 cash 과 코드를 노리고 있습니다
AUDIOFIX와 MINIRAT는 datahub[.]ink, cloud-sync[.]online, byte-io[.]us와 같은 명령 및 제어 도메인을 공유합니다. 공격자는 실제 위치를 숨기기 위해 Mullvad VPN, Astrill VPN, ExpressVPN을 통해 활동을 라우팅합니다.
Wiz는 JINX-0164가 북한의 위협 집단인 UNC1069 및 Sapphire Sleet과 전술적으로 유사한 점이 있음을 발견했지만, 직접적인 기반 시설 중복은 발견하지 못했습니다. Wiz는 JINX-0164를 금전적 동기를 가진 별개의 위협 행위자로 규정하고 있습니다.
5월, 해커들이 공식 Mistral AI 파이썬 라이브러리를 포함하여 170개 이상의 npm 및 PyPI 패키지를 해킹했습니다. 이 공격으로 암호화 및 AI 개발자들이 소유한 GitHub 토큰과 클라우드 자격dent이 노출되었습니다. 또한, 악성 패키지가 유효한 SLSA 빌드 레벨 3 출처 증명을 포함하고 있는 최초의 사례로, 빌드 무결성을 검증하기 위한 암호화 신뢰 모델을 무너뜨렸습니다.
암호화폐 및 AI 개발자 해킹은 일반적으로 cash 과 가치 있는 코드 탈취로 이어집니다. 암호화폐 연구소/기업은 사이버 보안 조치를 강화하고 CI/CD 파이프라인에 무단 접근이나 악의적인 활동이 있는지 점검해야 합니다. 승인되지 않은 GitHub 활동, 검증되지 않은 서명이 포함된 커밋, 비정상적인 VPN 연결 등은 모두 경고 신호입니다. LinkedIn을 통해 전달된 회의에 참석한 개발자는 컴퓨터에 바이러스 검사를 실시해야 합니다.
이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다.
자주 묻는 질문
JINX-0164는 무엇인가요?
JINX-0164는 Wiz가dent한 금전적 이득을 목적으로 하는 위협 행위자로, 적어도 2025년 중반부터 활동해 왔습니다.
JINX-0164 공격은 어떻게 시작되나요?
공격자들은 신뢰할 수 있는 프로필을 사용하여 LinkedIn에서 개발자들에게 접근하고, 화상 회의를 제안한 후 악성 도메인 링크를 보냅니다. 피해자가 가짜 회의 클라이언트를 실행하면 AUDIOFIX라는 macOS 악성코드가 유포됩니다.
암호화폐 개발자는 보안 침해가 의심될 경우 어떻게 해야 할까요?
개발자는 GitHub 토큰, SSH 키, 클라우드dent증명 및 모든 암호화폐 지갑 키를 주기적으로 교체해야 합니다. 또한 CI/CD 파이프라인에서 무단 활동이 있는지 감사하고, 저장소에서 검증되지 않은 커밋이 있는지 확인해야 합니다.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.tron권장합니다dent .
란다 모세스
란다 모세스는 Cryptopolitan 의 편집자 겸 기자로, 기술, 인공지능, 로봇공학, 암호화폐, 사기 및 해킹 관련 기사를 쓰고 있습니다. 2017년부터 암호화폐 업계에서 활동해 온 그녀는 포워드 프로토콜, 아마직스, 크립토솜니악에서 근무한 경력이 있습니다. 란다는 브래드퍼드 대학교에서 전기tron공학 학위를 받았습니다.
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)