Автор Admin 
Ранее незарегистрированный злоумышленник систематически нацеливается на разработчиков криптовалют через фейковые кампании по набору в LinkedIn, устанавливая на их компьютеры специализированное вредоносное ПО и затем используя этот доступ для компрометации всей инфраструктуры разработки программного обеспечения компании.
Охранная фирма Wiz назвала группу JINX-0164 и отслеживает её как минимум с середины 2025 года. Группа совершила несколько успешных вторжений против криптовалютных организаций, по крайней мере в одном случае пытаясь провести полноценную атаку на цепочку поставок путем распространения вредоносного кода через широко используемый публичный пакет.
Как работает атака
Атака следует последовательной схеме во всех задокументированных случаях:
- Надёжный профиль в LinkedIn связывается с вакансией или бизнес-предложением
- Цель приглашается на виртуальную встречу через платформу, по-видимому, Microsoft Teams или аналогичную платформу
- Ссылка на встречу ведёт на фейковый домен, где под предлогом исправления аудио- или технической проблемы скачивается вредоносный файл
- Файл устанавливает AUDIOFIX — пользовательское вредоносное ПО на Python с полноценным доступом к удалённому доступу
- Злоумышленники собирают пароли, SSH-ключи, учетные данные браузера, расширения криптовалютных кошельков, ключи AWS и облачных API, а также активные сессии из Discord, Slack и Telegram
- Токены GitHub, извлечённые из скомпрометированной машины, используются для доступа к внутренним репозиториям кода
- Вредоносный код внедряется напрямую в конвейер разработки, заражая всех остальных разработчиков, которые используют данные из этих репозиториев
Весь процесс — от первого контакта с LinkedIn до полного компромета конвейера — занял две недели в одном задокументированном случае.
Атака на цепочку поставок
7 апреля 2026 года JINX-0164 троянизировал версию 9.4.1 пакета npm @velora-dex/sdk, широко используемого криптовалютного SDK. К пакету добавлялись три строки вредоносного кода, который бесшумно скачивал лёгкий бэкдор под названием MINIRAT при импорте пакета каким-либо разработчиком.
Атака была направлена на npm-учетные данные, а не на исходный код GitHub, что означало, что репозиторий выглядел чистым, пока опубликованный пакет был скомпрометирован.
Связано: Чемпионат мира по футболу FIFA 2026 превращается в поле битвы криптопрогнозов
Почему разработчики — цель
Машины разработчиков хранят учетные данные для каждой системы, к которой прикасается разработчик. Облачная инфраструктура, репозитории кода, менеджеры пакетов, внутренние API. JINX-0164 почти не проявила интереса к традиционным облачным ресурсам после получения доступа. Их внимание было сосредоточено исключительно на системах распространения кода и инфраструктуре разработки — самом эффективном пути к охвату тысяч конечных пользователей через единый доверенный пакет.
На что стоит обратить внимание
Wiz выявил несколько индикаторов, которые помогли обнаружить атаку, включая непроверенные бейджи коммита в режиме Vigilant на GitHub, несоответствия между историей ключей GPG и авторами коммитов, а также активности git-push, отследённые до одной скомпрометированной концевой точки через журналы аудита.
Группа направляет всю активность через Mullvad, Astrill и ExpressVPN, чтобы скрыть их происхождение. Хотя окончательное приписывание не подтверждено, Wiz отметил тактическое сходство с северокорейскими группами, включая UNC1069 и Sapphire Sleet, хотя инфраструктурных пересечений с известными группами не выявлено.
Связано: Майкл Сейлор описывает четыре идеологии биткоина
Источник: cryptonews.net