Новая хакерская группа JINX-0164 атакует криптовалютные компании через поддельных рекрутеров в LinkedIn

Группа действует как минимум с середины 2025 года. Основная движущая сила - финансовая выгода. Жертвами становятся разработчики, занятые в криптовалютной индустрии. Атакующие маскируются под рекрутеров или потенциальных деловых партнёров. В ходе атаки они получают доступ к конечным устройствам сотрудников, а затем перемещаются в системы непрерывной интеграции и доставки кода (CI/CD). В одном из расследованных инцидентов злоумышленники даже пытались организовать атаку на цепочку поставок.

Типичный сценарий начинается с убедительного профиля в LinkedIn. Хакеры либо взламывают существующие аккаунты реальных специалистов, либо создают новые, но очень правдоподобные. После установления доверительного контакта жертве предлагают провести видеовстречу. Ссылка на конференцию ведёт на поддельный домен, который копирует оформление легитимного сервиса, например Microsoft Teams. Переходя по ссылке, пользователь скачивает и запускает вредоносную программу.

Вредоносное ПО получило название AUDIOFIX. Это инфостилер на языке Python, скомпилированный в бинарный файл. После запуска он маскируется под обновление звукового драйвера. Программа закрепляется в системе через LaunchAgent и начинает сбор данных. Ворованные учётные данные включают пароли из браузеров, macOS Keychain, SSH-ключи, токены доступа к облачным сервисам (AWS, GCP, Azure) и API-токены Cloudflare. Также вредонос крадёт информацию о расширениях криптовалютных кошельков - в списке более 50 видов, включая MetaMask, Phantom и Coinbase Wallet.

На этом этапе атакующие получают полный контроль над устройством. Они используют украденные токены GitHub для доступа к репозиториям. С помощью открытого инструмента nord-stream производится автоматическая эксфильтрация секретов из GitHub Actions. Однако главной целью становится не облачная инфраструктура, а внутренние системы распространения кода.

Специалисты Wiz Customer Incident Response Team в новом отчёте детально описали, как злоумышленники внедряли тот же вредонос AUDIOFIX в репозитории, имитируя действия других разработчиков. Они меняли имя автора коммита и адрес электронной почты. В незащищённые репозитории вредоносный код помещался прямо в основную ветку. Там, где прямой доступ был невозможен, хакеры встраивали полезную нагрузку в существующие ветки. Когда другие сотрудники обновляли свой код и собирали его из скомпрометированных репозиториев, их устройства также заражались. Таким образом инфраструктура разработки превращалась в механизм распространения.

Обнаружить подмену помог режим Vigilant Mode в GitHub. Он показывает, что коммит не подписан доверенным GPG-ключом. Сопоставление с журналами аудита позволило отследить источник push-операций до первоначально скомпрометированного устройства.

Помимо прямой кражи криптовалюты, группировка провела успешную атаку на цепочку поставок. В апреле 2026 года они троянизировали версию 4.9.1 пакета @velora-dex/sdk, опубликованного в репозитории npm. Пакет относится к протоколу децентрализованного обмена Velora и широко используется в криптоиндустрии. Злоумышленники добавили в код три строки: при импорте пакета скачивался shell-скрипт, который устанавливал лёгкий бэкдор MINIRAT, написанный на Go. Исходный код на GitHub не изменялся - хакеры получили доступ только к учётным данным npm.

MINIRAT собирает базовую информацию о системе, регистрируется на управляющем сервере (командно-контрольном центре) и позволяет выполнять произвольные команды, загружать и выгружать файлы. В отличие от AUDIOFIX, у него нет автоматической эксфильтрации.

Оба вредоноса используют одни и те же три домена для связи с управляющим сервером: datahub.ink и два резервных - cloud-sync.online, byte-io.us. AUDIOFIX в более ранней версии использовал облачное хранилище Dropbox для команд и эксфильтрации. Для маскировки своих действий хакеры подключаются через VPN-сервисы, среди которых Mullvad VPN, Astrill VPN и Express VPN.

Атрибуция JINX-0164 пока остаётся неполной. Многие тактики и возможности вредоносов напоминают северокорейские группы UNC1069 и Sapphire Sleet. Однако реализация отличается: иной язык программирования (Python 3.12 вместо C/C++), другая криптография (PyCryptodome вместо wolfSSL), иной метод получения пароля (всплывающее окно через AppKit вместо SwiftUI). При этом инфраструктура JINX-0164 не пересекается с известными группировками. Исследователи Wiz считают, что группа может действовать в одиночку, но обладать высоким уровнем квалификации.

Для защиты от подобных атак специалистам по информационной безопасности следует обратить внимание на несколько индикаторов. Во-первых, необычное использование VPN-сервисов сотрудниками. Во-вторых, коммиты без подписи GPG в репозиториях. В-третьих, неожиданные выполнения рабочих процессов в CI/CD и удаление их журналов. Журналы аудита GitHub рекомендуется включить, особенно для IP-адресов. Использование инструментов для эксфильтрации секретов, таких как nord-stream, также может быть выявлено системами обнаружения.

Группа JINX-0164 демонстрирует, что криптовалютный сектор остаётся привлекательной целью для киберпреступников. Сочетание социальной инженерии, вредоносного ПО для macOS и атак на цепочку поставок делает эту угрозу особенно опасной. Компаниям, работающим с цифровыми активами, необходимо усилить мониторинг конечных устройств, особенно на платформе macOS, и проверять подлинность коммитов в системах контроля версий. Только комплексный подход к безопасности поможет предотвратить подобные инциденты в будущем.

IPv4

• 153.92.126.84
• 163.172.53.20
• 185.100.85.250
• 185.100.85.98
• 185.175.59.85
• 208.115.220.17
• 45.45.217.242
• 84.32.83.250
• 89.36.224.5

Domains

• app.slktest.live
• app.us03-slack.online
• apple.driver-hub.net
• apple.driver-store.com
• apple.driver-update.io
• apple.drvstore.com
• bitget-meeting.com
• byte-io.us
• cloud-sync.online
• datahub.ink
• driver-hub.net
• driver-store.com
• driver-update.io
• driver-updater.net
• drvstore.com
• learn.bitget-meeting.com
• learn.live.ong
• learn.retesta.live
• learn.teamicrosoft.com
• learn.teams.cam
• learn.teams.us.org
• live.ong
• live.org.mx
• live.teams.cam
• live.us.org
• lives.us.org
• login.bitget-meeting.com
• login.live.ong
• login.retesta.live
• login.teamicrosoft.com
• login.teams.cam
• my-home-company-group.slktest.live
• my-home-company-group.us03-slack.online
• resource.bitget-meeting.com
• resource.teamicrosoft.com
• Retesta.live
• sitemaps.driver-store.com
• slktest.live
• team.live.us.org
• teamicrosoft.com
• teams.cam
• teams.live.ong
• teams.live.org.mx
• teams.live.us.org
• teams.retesta.live
• teams.us.org
• us03-slack.online
• windows.driver-hub.net
• windows.driver-store.com
• windows.driver-update.io
• windows.drvstore.com
• www.bitget-meeting.com
• www.driver-hub.net
• www.driver-store.com
• www.driver-update.io
• www.driver-updater.net
• www.drvstore.com
• www.live.ong
• www.live.us.org
• www.retesta.live
• www.slktest.live
• www.teamicrosoft.com
• www.teams.cam
• www.us03-slack.online

SHA256

• 0a8ab3d16b12d3a453ee5a3208fe04744ad54514ef8ea27bb8fe32679efad270
• 0b028b781950641818800fee2b4bf68e4ef2bcee53fe71a21755275ba108783d
• 0b1a36a31b952341a534fe24890f1ed2921ee259773cff46e4f6273b8c4d5d21
• 2a10ffe0367bb1b26ba2c3bc600892c21074725c0b8c9dc9161e6ceb33915460
• 3e3901519c2305fbe9d5483b7234c25c6d2b562512916481d96f26b849c39fdb
• 402625ec79e3573a80b6de9b33fc1e503e3c7803603cd958ddd515fb0549007c
• 65cba741fe30fa4799fb9002ea8de6d96042a59159dd7c3419c766af24c835e6
• 9c2ce925133a3bf5a924063bbef8df49918d5b7258695c1894cd18c75970157a
• a35d2b67fa478a7174e308b43ce30bf69b3bc6f44fa76197fdf95fc2fbc1cf5b
• b6cab0b3aa8e56e2427f486c74588d598ae58bb0cbc0eda6939fe171cb0aed17
• c6ef82d2864dfd26f117a1ef5602679153423f2742970a7949cec72722f0a01e
• d4e863f9818bfb2f1dd932df6441dff204e6142c3bdb55b298cb08dc7b6a0c62
• e8ee6f5145c9d503c5130bfc6585567f6e19d409158c3c0ca0b259f1875b15f4