Desenvolvedores de criptomoedas caem em golpes de ligações falsas no LinkedIn e perdem o controle de seus fluxos de trabalho de código

Um grupo de hackers, conhecido como JINX-0164, tem entrado em contato com desenvolvedores de criptomoedas pelo LinkedIn e os convidado para reuniões falsas que levam à infecção de seus computadores com malware personalizado para macOS.

O malware roubadentde login e sequestra os fluxos de trabalho que os desenvolvedores usam para construir e implantar software. A empresa de segurança em nuvem Wiz publicou suas descobertas em 27 de maio de 2026.

Um link falso para reunião instala o malware AUDIOFIX nas máquinas dos desenvolvedores

A equipe de resposta adent da Wiz ligou o grupo a ataques que remontam pelo menos a meados de 2025.

Os atacantes contatam um desenvolvedor no LinkedIn usando um perfil que parece legítimo, sugerem uma chamada comercial e enviam um link para um site falso que imita o Microsoft Teams ou uma ferramenta de videoconferência similar.

O AUDIOFIX é um vírus para macOS que inicia sua instalação silenciosamente quando a vítima clica no que acredita ser um link de reunião. Ele opera em Macs com processadores Intel e Apple Silicon e é distribuído por meio de um script armazenado em um site falso da Apple. O vírus se configura para continuar operando após a reinicialização, se passa por um componente de áudio do sistema e interage com os atacantes via HTTPS.

Uma vez instalado na máquina, o malware coleta senhas salvas do Keychain do macOS,dentdo navegador, chaves SSH, tokens de acesso à nuvem para AWS, GCP e Azure, e dados de carteiras de criptomoedas. Além disso, a Wiz descobriu que os atacantes estavam praticando phishing para obter senhas e armazenando-as em arquivos criptografados.

O JINX-0164 difere de outros infostealers porque ataca repositórios de código internos e a infraestrutura de desenvolvimento.

Em um estudo de caso do início de 2026, a Wiz documentou como os atacantes usaram tokens roubados do GitHub para extrairtracde pipelines de CI/CD com uma ferramenta de código aberto chamada nord-stream. Em seguida, eles injetaram seu malware AUDIOFIX em repositórios internos, se passando por desenvolvedores legítimos, falsificando metadados de commits do Git e enviando código malicioso para branches principais ou sequestrando branches existentes.

Outros desenvolvedores que baixaram e compilaram a partir desses repositórios contaminados foram infectadosmatic. O próprio fluxo de trabalho de desenvolvimento da organização tornou-se o mecanismo de distribuição. O Modo Vigilante do GitHub, que sinaliza commits sem assinaturas GPG verificadas, detectou a falsificação em pelo menos um caso.

O grupo também realizou um ataque confirmado à cadeia de suprimentos de um pacote npm público. Em 7 de abril de 2026, o JINX-0164 infectou a versão 4.9.1 do @velora-dex/sdk com um trojan, injetando um comando codificado em base64 que buscava e executava um script remoto que implantava o MINIRAT. Trata-se de um backdoor leve, baseado em Go, focado em persistência e execução remota de comandos.

Os atacantes visam cash e código de desenvolvedores de criptomoedas

A AUDIOFIX e a MINIRAT compartilham domínios de comando e controle como datahub[.]ink, cloud-sync[.]online e byte-io[.]us. Os atacantes direcionam suas atividades por meio de VPNs como Mullvad, Astrill e ExpressVPN para ocultar sua localização real.

A Wiz encontrou algumas semelhanças táticas com os clusters de ameaças norte-coreanas UNC1069 e Sapphire Sleet, mas não encontrou nenhuma sobreposição direta de infraestrutura. Eles estão classificando o JINX-0164 como um agente de ameaça distinto e com motivação financeira.

Em maio, hackers comprometeram mais de 170 pacotes npm e PyPI, incluindo a biblioteca oficial Mistral AI em Python. Esse ataque expôs tokens do GitHub edentna nuvem pertencentes a desenvolvedores de criptomoedas e IA. Este foi também o primeiro caso documentado de pacotes maliciosos contendo atestados de procedência SLSA Build Level 3 válidos, quebrando o modelo de confiança criptográfica destinado a verificar a integridade da compilação.

Ataques a desenvolvedores de criptomoedas e IA geralmente resultam em cash e código valioso. Laboratórios/empresas de criptomoedas devem reforçar suas medidas de cibersegurança e revisar seus pipelines de CI/CD em busca de acessos não autorizados ou atividades maliciosas. Ações não autorizadas no GitHub, commits com assinaturas não verificadas e conexões VPN incomuns são sinais de alerta. Desenvolvedores que participaram de reuniões enviadas pelo LinkedIn devem verificar seus computadores em busca de vírus.