O JINX-0164 sequestra máquinas de desenvolvedores de criptomoedas por meio de links de reunião falsos

Um grupo de hackers, conhecido como JINX-0164, tem entrado em contato com desenvolvedores de criptomoedas pelo LinkedIn e os convidado para reuniões falsas que levam à infecção de seus computadores com malware personalizado para macOS.

O malware roubadentde login e sequestra os fluxos de trabalho que os desenvolvedores usam para construir e implantar software. A empresa de segurança em nuvem Wiz publicou suas descobertas em 27 de maio de 2026.

Um link falso para reunião instala o malware AUDIOFIX nas máquinas dos desenvolvedores

A equipe de resposta adent da Wiz ligou o grupo a ataques que remontam pelo menos a meados de 2025.

Os atacantes contatam um desenvolvedor no LinkedIn usando um perfil que parece legítimo, sugerem uma chamada comercial e enviam um link para um site falso que imita o Microsoft Teams ou uma ferramenta de videoconferência similar.

O AUDIOFIX é um vírus para macOS que inicia sua instalação silenciosamente quando a vítima clica no que acredita ser um link de reunião. Ele opera em Macs com processadores Intel e Apple Silicon e é distribuído por meio de um script armazenado em um site falso da Apple. O vírus se configura para continuar operando após a reinicialização, se passa por um componente de áudio do sistema e interage com os atacantes via HTTPS.

Uma vez instalado na máquina, o malware coleta senhas salvas do Keychain do macOS,dentdo navegador, chaves SSH, tokens de acesso à nuvem para AWS, GCP e Azure, e dados de carteiras de criptomoedas. Além disso, a Wiz descobriu que os atacantes estavam praticando phishing para obter senhas e armazenando-as em arquivos criptografados.

O JINX-0164 difere de outros infostealers porque ataca repositórios de código internos e a infraestrutura de desenvolvimento.

Em um estudo de caso do início de 2026, a Wiz documentou como os atacantes usaram tokens roubados do GitHub para extrairtracde pipelines de CI/CD com uma ferramenta de código aberto chamada nord-stream. Em seguida, eles injetaram seu malware AUDIOFIX em repositórios internos, se passando por desenvolvedores legítimos, falsificando metadados de commits do Git e enviando código malicioso para branches principais ou sequestrando branches existentes.

Outros desenvolvedores que baixaram e compilaram a partir desses repositórios contaminados foram infectadosmatic. O próprio fluxo de trabalho de desenvolvimento da organização tornou-se o mecanismo de distribuição. O Modo Vigilante do GitHub, que sinaliza commits sem assinaturas GPG verificadas, detectou a falsificação em pelo menos um caso.

O grupo também realizou um ataque confirmado à cadeia de suprimentos de um pacote npm público. Em 7 de abril de 2026, o JINX-0164 infectou a versão 4.9.1 do @velora-dex/sdk com um trojan, injetando um comando codificado em base64 que buscava e executava um script remoto que implantava o MINIRAT. Trata-se de um backdoor leve, baseado em Go, focado em persistência e execução remota de comandos.

Os atacantes visam cash e código de desenvolvedores de criptomoedas

A AUDIOFIX e a MINIRAT compartilham domínios de comando e controle como datahub[.]ink, cloud-sync[.]online e byte-io[.]us. Os atacantes direcionam suas atividades por meio de VPNs como Mullvad, Astrill e ExpressVPN para ocultar sua localização real.

A Wiz encontrou algumas semelhanças táticas com os clusters de ameaças norte-coreanas UNC1069 e Sapphire Sleet, mas não encontrou nenhuma sobreposição direta de infraestrutura. Eles estão classificando o JINX-0164 como um agente de ameaça distinto e com motivação financeira.

Em maio, hackers comprometeram mais de 170 pacotes npm e PyPI, incluindo a biblioteca oficial Mistral AI em Python. Esse ataque expôs tokens do GitHub edentna nuvem pertencentes a desenvolvedores de criptomoedas e IA. Este foi também o primeiro caso documentado de pacotes maliciosos contendo atestados de procedência SLSA Build Level 3 válidos, quebrando o modelo de confiança criptográfica destinado a verificar a integridade da compilação.

Ataques a desenvolvedores de criptomoedas e IA geralmente resultam em cash e código valioso. Laboratórios/empresas de criptomoedas devem reforçar suas medidas de cibersegurança e revisar seus pipelines de CI/CD em busca de acessos não autorizados ou atividades maliciosas. Ações não autorizadas no GitHub, commits com assinaturas não verificadas e conexões VPN incomuns são sinais de alerta. Desenvolvedores que participaram de reuniões enviadas pelo LinkedIn devem verificar seus computadores em busca de vírus.

As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer participar? Junte-se a elas.