Доверчивость бьет больнее любых хакеров. Новая группировка похищает миллионы через поддельные аудиофайлы
NewsMakerОдин клик по фейковому Teams — и вся команда разработки внезапно работает на хакеров.
Хакеры нашли новый способ добраться до криптовалютных компаний: они знакомятся с разработчиками в LinkedIn , приглашают на «деловую встречу», а затем подсовывают вредоносную программу под видом исправления проблемы со звуком. Так действует новая группа JINX-0164, за которой следят специалисты Wiz.
По данным Wiz CIRT и Wiz Research, JINX-0164 атакует разработчиков и инфраструктуру разработки в криптовалютных организациях как минимум с середины 2025 года. Злоумышленники используют убедительные профили в LinkedIn, поддельные страницы видеосвязи и вредоносные программы для macOS . Главная цель группы, по оценке Wiz, состоит в том, чтобы красть криптовалюту и получать доступ к системам разработки.
В одном из расследованных случаев атака развивалась около двух недель. Сначала злоумышленник связался с сотрудником через LinkedIn и представился потенциальным деловым партнером. Профиль выглядел правдоподобно: у него были связи, релевантная история работы и совпадение с отраслью. После короткого общения жертве предложили созвониться, а ссылку на встречу замаскировали под легитимный сервис видеосвязи, включая Microsoft Teams.
После перехода по ссылке пользователь загрузил и запустил вредоносную программу для macOS. Она распространялась через сценарий командной оболочки с поддельного домена apple.driver-store[.]com и выдавала себя за системный аудиодрайвер. В Wiz называют эту программу AUDIOFIX. Она написана на Python, умеет красть данные и дает злоумышленникам удаленный доступ к зараженному компьютеру.
AUDIOFIX собирала пароли, ключи SSH, данные из браузеров, файлы связки ключей macOS, учетные данные облачных сервисов, токены Cloudflare, данные из Discord, Slack и Telegram, а также информацию о криптовалютных кошельках. Программа также следила за буфером обмена, где часто оказываются пароли, адреса кошельков и другие чувствительные данные.
Получив доступ к компьютеру разработчика, JINX-0164 не стала активно развивать атаку через облачные сервисы. Вместо этого злоумышленники сосредоточились на репозиториях и внутренней инфраструктуре разработки. Они внедряли AUDIOFIX в исходный код, чтобы заражать других сотрудников, которые обновляли проект и собирали программу из уже скомпрометированного репозитория.
Для маскировки группа меняла имя и адрес автора коммита, выдавала вредоносные изменения за работу других разработчиков, отправляла код прямо в основную ветку, если репозиторий не был защищен, или внедряла вредоносную нагрузку в существующие ветки. В одном случае распространение удалось остановить благодаря режиму Vigilant Mode в GitHub: подозрительные коммиты получили отметку о неподтвержденной подписи, а журналы аудита связали отправку кода с изначально зараженным устройством.
Wiz также связывает JINX-0164 с атакой на цепочку поставок . 7 апреля 2026 года группа внедрила вредоносный код в версию 4.9.1 пакета @velora-dex/sdk для npm. При подключении пакета вредоносная вставка пыталась загрузить сценарий, который устанавливал MINIRAT, небольшую программу удаленного доступа на Go. Исходный код на GitHub при этом не менялся, поэтому специалисты Wiz считают, что злоумышленники получили доступ именно к учетным данным npm.
MINIRAT собирает базовые сведения о системе, включая имя узла, имя пользователя и внешний IP-адрес, а затем связывается с управляющим сервером. Программа умеет выполнять команды, загружать и отправлять файлы, но не проводит автоматическую массовую кражу данных, как AUDIOFIX.
Инфраструктура JINX-0164 имитировала Microsoft Teams, Slack, Aircall, страницы обновления драйверов и сайты криптовалютных компаний. Злоумышленники регистрировали похожие домены, копировали реальные страницы, добавляли локализацию и справочные материалы, а вредоносные инструкции размещали только на отдельных страницах. Для маскировки сетевой активности группа использовала специализированные сервисы.
По техникам JINX-0164 напоминает некоторые северокорейские группы, которые также охотятся на криптовалютные компании и разработчиков. Однако Wiz не нашла совпадений инфраструктуры с уже известными группировками, а вредоносные программы и отдельные приемы реализованы иначе. Поэтому специалисты пока не связывают JINX-0164 с конкретным государством или спонсором.
Для компаний главный вывод из расследования прост: разработчики остаются одной из самых привлекательных целей для атак на криптовалютную отрасль. Один зараженный ноутбук может дать злоумышленникам доступ не только к кошелькам и паролям, но и к системам сборки, репозиториям и каналам распространения кода.
Хакеры нашли новый способ добраться до криптовалютных компаний: они знакомятся с разработчиками в LinkedIn , приглашают на «деловую встречу», а затем подсовывают вредоносную программу под видом исправления проблемы со звуком. Так действует новая группа JINX-0164, за которой следят специалисты Wiz.
По данным Wiz CIRT и Wiz Research, JINX-0164 атакует разработчиков и инфраструктуру разработки в криптовалютных организациях как минимум с середины 2025 года. Злоумышленники используют убедительные профили в LinkedIn, поддельные страницы видеосвязи и вредоносные программы для macOS . Главная цель группы, по оценке Wiz, состоит в том, чтобы красть криптовалюту и получать доступ к системам разработки.
В одном из расследованных случаев атака развивалась около двух недель. Сначала злоумышленник связался с сотрудником через LinkedIn и представился потенциальным деловым партнером. Профиль выглядел правдоподобно: у него были связи, релевантная история работы и совпадение с отраслью. После короткого общения жертве предложили созвониться, а ссылку на встречу замаскировали под легитимный сервис видеосвязи, включая Microsoft Teams.
После перехода по ссылке пользователь загрузил и запустил вредоносную программу для macOS. Она распространялась через сценарий командной оболочки с поддельного домена apple.driver-store[.]com и выдавала себя за системный аудиодрайвер. В Wiz называют эту программу AUDIOFIX. Она написана на Python, умеет красть данные и дает злоумышленникам удаленный доступ к зараженному компьютеру.
AUDIOFIX собирала пароли, ключи SSH, данные из браузеров, файлы связки ключей macOS, учетные данные облачных сервисов, токены Cloudflare, данные из Discord, Slack и Telegram, а также информацию о криптовалютных кошельках. Программа также следила за буфером обмена, где часто оказываются пароли, адреса кошельков и другие чувствительные данные.
Получив доступ к компьютеру разработчика, JINX-0164 не стала активно развивать атаку через облачные сервисы. Вместо этого злоумышленники сосредоточились на репозиториях и внутренней инфраструктуре разработки. Они внедряли AUDIOFIX в исходный код, чтобы заражать других сотрудников, которые обновляли проект и собирали программу из уже скомпрометированного репозитория.
Для маскировки группа меняла имя и адрес автора коммита, выдавала вредоносные изменения за работу других разработчиков, отправляла код прямо в основную ветку, если репозиторий не был защищен, или внедряла вредоносную нагрузку в существующие ветки. В одном случае распространение удалось остановить благодаря режиму Vigilant Mode в GitHub: подозрительные коммиты получили отметку о неподтвержденной подписи, а журналы аудита связали отправку кода с изначально зараженным устройством.
Wiz также связывает JINX-0164 с атакой на цепочку поставок . 7 апреля 2026 года группа внедрила вредоносный код в версию 4.9.1 пакета @velora-dex/sdk для npm. При подключении пакета вредоносная вставка пыталась загрузить сценарий, который устанавливал MINIRAT, небольшую программу удаленного доступа на Go. Исходный код на GitHub при этом не менялся, поэтому специалисты Wiz считают, что злоумышленники получили доступ именно к учетным данным npm.
MINIRAT собирает базовые сведения о системе, включая имя узла, имя пользователя и внешний IP-адрес, а затем связывается с управляющим сервером. Программа умеет выполнять команды, загружать и отправлять файлы, но не проводит автоматическую массовую кражу данных, как AUDIOFIX.
Инфраструктура JINX-0164 имитировала Microsoft Teams, Slack, Aircall, страницы обновления драйверов и сайты криптовалютных компаний. Злоумышленники регистрировали похожие домены, копировали реальные страницы, добавляли локализацию и справочные материалы, а вредоносные инструкции размещали только на отдельных страницах. Для маскировки сетевой активности группа использовала специализированные сервисы.
По техникам JINX-0164 напоминает некоторые северокорейские группы, которые также охотятся на криптовалютные компании и разработчиков. Однако Wiz не нашла совпадений инфраструктуры с уже известными группировками, а вредоносные программы и отдельные приемы реализованы иначе. Поэтому специалисты пока не связывают JINX-0164 с конкретным государством или спонсором.
Для компаний главный вывод из расследования прост: разработчики остаются одной из самых привлекательных целей для атак на криптовалютную отрасль. Один зараженный ноутбук может дать злоумышленникам доступ не только к кошелькам и паролям, но и к системам сборки, репозиториям и каналам распространения кода.