Разработчики криптовалют попадаются на уловки мошенников из LinkedIn и теряют контроль над конвейерами обработки кода

Группа хакеров, известная как JINX-0164, связывается с разработчиками криптотехнологий через LinkedIn и приглашает их на фиктивные встречи, которые приводят к заражению их компьютеров вредоносным ПО для macOS.

Вредоносная программа крадетdentданные для входа в систему и перехватывает конвейеры, используемые разработчиками для сборки и развертывания программного обеспечения. Компания Wiz, специализирующаяся на облачной безопасности, опубликовала свои выводы 27 мая 2026 года.

Поддельная ссылка на встречу распространяет вредоносное ПО AUDIOFIX на компьютерах разработчиков

Группа реагирования наdent Wiz связала эту группу с атаками, совершенными как минимум с середины 2025 года.

Злоумышленники связываются с разработчиком в LinkedIn, используя профиль, который выглядит правдоподобно, предлагают деловой звонок и отправляют ссылку на поддельный веб-сайт, замаскированный под Microsoft Teams или аналогичный инструмент для видеоконференций.

AUDIOFIX — это вирус для macOS, который незаметно начинает установку, когда жертва переходит по ссылке, которую она считает ссылкой на конференцию. Он работает на компьютерах Mac с процессорами Intel и Apple Silicon и распространяется через скрипт, хранящийся на поддельном сайте Apple. Вирус настраивается на продолжение работы после перезагрузки, маскируется под системный аудиокомпонент и взаимодействует со злоумышленниками по протоколу HTTPS.

После установки на компьютер программа собирает сохраненные пароли из связки ключей macOS,dentданные браузера, ключи SSH, токены доступа к облачным сервисам AWS, GCP и Azure, а также данные криптокошельков. Кроме того, Wiz обнаружил, что злоумышленники напрямую занимались фишингом, выманивая пароли и сохраняя их в закодированных файлах.

JINX-0164 отличается от других программ-похитителей информации тем, что нацелен на внутренние репозитории кода и инфраструктуру разработки.

В одном из исследований, проведенном в начале 2026 года, компания Wiz задокументировала, как злоумышленники использовали украденные токены GitHub для извлеченияtracиз конвейеров CI/CD с помощью инструмента с открытым исходным кодом nord-stream. Затем они внедрили свое вредоносное ПО AUDIOFIX во внутренние репозитории, выдавая себя за легитимных разработчиков путем подделки метаданных коммитов Git и отправки вредоносного кода в основные ветки или захвата существующих.

Другие разработчики, которые использовали эти зараженные репозитории для сборки своих проектов,maticзаразились. Собственный рабочий процесс разработки организации стал механизмом распространения. Режим бдительности GitHub, который помечает коммиты без проверенных GPG-подписей, выявил подделку как минимум в одном случае.

Группа также совершила подтвержденную атаку на цепочку поставок общедоступного пакета npm. 7 апреля 2026 года JINX-0164 внедрила троян в версию 4.9.1 @velora-dex/sdk, внедрив закодированную в base64 команду, которая загрузила и выполнила удаленный скрипт, развертывающий MINIRAT. Это легковесный бэкдор на основе Go, ориентированный на сохранение активности и удаленное выполнение команд.

Злоумышленники атакуют cash и программный код разработчиков криптовалют

AUDIOFIX и MINIRAT используют общие домены управления, такие как datahub[.]ink, cloud-sync[.]online и byte-io[.]us. Злоумышленники направляют свою активность через VPN-сети Mullvad, Astrill и ExpressVPN, чтобы скрыть свое реальное местоположение.

Wiz обнаружили некоторое тактическое сходство с северокорейскими кластерами угроз UNC1069 и Sapphire Sleet, но не выявили прямого совпадения инфраструктуры. Они называют JINX-0164 отдельным субъектом угроз, преследующим финансовые цели.

В мае хакеры взломали более 170 пакетов npm и PyPI, включая официальную библиотеку Mistral AI для Python. В результате этой атаки были раскрыты токены GitHub иdentданные облачных сервисов, принадлежащие разработчикам криптографических и ИИ-приложений. Это также был первый задокументированный случай, когда вредоносные пакеты содержали действительные аттестации SLSA Build Level 3, нарушая криптографическую модель доверия, предназначенную для проверки целостности сборки.

Взлом серверов крипто- и ИИ-разработчиков обычно приводит к cash и ценного кода. Криптовалютным лабораториям/компаниям следует усилить меры кибербезопасности и проверить свои конвейеры CI/CD на предмет несанкционированного доступа или вредоносной активности. Несанкционированные действия в GitHub, коммиты с непроверенными подписями и необычные VPN-подключения — все это тревожные сигналы. Разработчикам, присоединившимся к совещаниям, отправленным через LinkedIn, следует проверить свои компьютеры на вирусы.