Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowo zidentyfikowany aktor zagrożeń oznaczony jako JINX-0164 prowadzi kampanię wymierzoną w organizacje związane z rynkiem kryptowalut. Operacja łączy socjotechnikę, ataki na stacje robocze deweloperów oraz próby kompromitacji łańcucha dostaw oprogramowania, co znacząco zwiększa skalę potencjalnych szkód.
Na szczególną uwagę zasługuje koncentracja na systemach macOS, środowiskach developerskich oraz infrastrukturze CI/CD. Taki dobór celów wskazuje, że napastnikom nie chodzi wyłącznie o jednorazową kradzież danych, ale także o uzyskanie trwałego dostępu i możliwość dalszej ekspansji w środowisku ofiary.
W skrócie
JINX-0164 to finansowo motywowany podmiot, który od co najmniej połowy 2025 roku atakuje firmy kryptowalutowe i programistów. Punktem wejścia jest zwykle wiarygodnie wyglądający kontakt od rzekomego rekrutera, który kieruje ofiarę do spreparowanej platformy spotkań online.
Następnie użytkownik jest nakłaniany do pobrania i uruchomienia rzekomej poprawki technicznej. W efekcie na urządzeniu z macOS instalowane są komponenty malware, w tym AUDIOFIX oraz MiniRAT, służące do kradzieży poświadczeń, przejmowania portfeli kryptowalutowych, wykonywania poleceń zdalnych i przygotowania gruntu pod ruch lateralny.
Kontekst / historia
Opisana kampania wpisuje się w rosnący trend ataków wymierzonych w deweloperów oraz proces wytwarzania oprogramowania. Firmy z sektora kryptowalut pozostają szczególnie atrakcyjnym celem, ponieważ operują aktywami o wysokiej wartości i jednocześnie korzystają z rozbudowanego ekosystemu zależności open source, kluczy dostępowych, integracji chmurowych i narzędzi komunikacyjnych.
Badacze wskazują, że aktywność JINX-0164 trwa co najmniej od połowy 2025 roku. W jednym z analizowanych przypadków działania grupy wykraczały poza klasyczne przejęcie pojedynczej stacji roboczej i obejmowały elementy ataku na łańcuch dostaw, co podnosi wagę incydentu z poziomu endpointu do poziomu ryzyka organizacyjnego.
Z kampanią powiązano również skompromitowaną paczkę npm @velora-dex/sdk, której złośliwa wersja dostarczała komponent MiniRAT na systemy macOS. Choć część technik przypomina aktywność znaną z operacji prowadzonych przez podmioty powiązane z Koreą Północną, obecnie brak publicznie potwierdzonych przesłanek pozwalających na jednoznaczne przypisanie kampanii do konkretnego klastra państwowego.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od kontaktu nawiązującego do procesu rekrutacyjnego lub spotkania biznesowego. Ofiara otrzymuje zaproszenie do rozmowy i zostaje skierowana do domeny podszywającej się pod legalną usługę telekonferencyjną. Na stronie wyświetlany jest komunikat o rzekomym problemie technicznym oraz instrukcja pobrania klienta lub poprawki.
Uruchomiony plik inicjuje skrypt bash, który pobiera kolejne etapy infekcji z infrastruktury kontrolowanej przez atakujących. Mechanizm dostarczania ładunku uwzględnia architekturę urządzenia, dzięki czemu malware może działać zarówno na komputerach Intel, jak i Apple Silicon. Część komponentów była maskowana jako legalne elementy systemowe, w tym sterowniki audio, a trwałość uzyskiwano z użyciem natywnych mechanizmów startowych systemu.
Kluczowym narzędziem kampanii jest AUDIOFIX, czyli binarny implant oparty na Pythonie, łączący funkcje infostealera i zdalnego dostępu. Po instalacji malware zbiera szeroki zestaw informacji z hosta i umożliwia operatorowi dalsze działania w systemie.
- dane z menedżerów haseł,
- poświadczenia zapisane w przeglądarkach,
- pliki iCloud Keychain,
- lokalne dane administratora,
- klucze SSH,
- pliki konfiguracyjne oraz historię poleceń,
- informacje o rozszerzeniach portfeli kryptowalutowych,
- adresy portfeli i aktywne sesje narzędzi komunikacyjnych.
AUDIOFIX nie ogranicza się do wykradania informacji. Malware wspiera również rekonesans, eksfiltrację danych, wykonywanie poleceń powłoki, usuwanie plików oraz pobieranie dodatkowych ładunków. To sugeruje, że napastnicy planują utrzymywać dostęp i wykorzystywać przejęty host jako punkt wyjścia do dalszego ruchu w infrastrukturze.
Drugim elementem arsenału jest MiniRAT, backdoor napisany w Go. W analizowanych przypadkach był on dystrybuowany także za pośrednictwem złośliwej wersji paczki @velora-dex/sdk. Taki scenariusz pokazuje, że JINX-0164 działa nie tylko poprzez ukierunkowany phishing, ale również poprzez kompromitację ekosystemu zależności developerskich.
Szczególnie niepokojące są próby ruchu lateralnego z przejętego laptopa do wewnętrznych repozytoriów kodu i systemów dystrybucji oprogramowania. Według analiz celem było uzyskanie dostępu do danych związanych z portfelami kryptowalutowymi oraz potencjalna modyfikacja kodu źródłowego w celu rozszerzenia zasięgu kompromitacji.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem takich operacji jest połączenie kompromitacji stacji roboczej z ryzykiem przejęcia środowiska developerskiego i procesu wydawniczego. W praktyce oznacza to, że pojedynczy incydent na komputerze pracownika może przełożyć się na zagrożenie dla klientów, partnerów i całego ekosystemu produktu.
- kradzież środków z portfeli kryptowalutowych i rozszerzeń przeglądarkowych,
- utrata kluczy API, kluczy SSH oraz sekretów chmurowych,
- przejęcie kont komunikacyjnych używanych operacyjnie,
- kompromitacja pipeline’ów CI/CD,
- wstrzyknięcie złośliwego kodu do produktów lub bibliotek,
- dalsza infekcja klientów i partnerów biznesowych.
Ryzyko rośnie tam, gdzie deweloperzy przechowują sekrety lokalnie, korzystają z szerokich uprawnień lub instalują narzędzia z niezweryfikowanych źródeł. Ataki tego typu są trudne do wykrycia, ponieważ bazują na realistycznych interakcjach biznesowych i komponentach, które do złudzenia przypominają zwykłe aktualizacje lub poprawki techniczne.
Rekomendacje
Organizacje z sektora kryptowalut, software house’y oraz zespoły DevSecOps powinny potraktować tę kampanię jako zagrożenie klasy enterprise. Skuteczna obrona wymaga jednoczesnego zabezpieczenia użytkowników, endpointów, zależności programistycznych i systemów wydawniczych.
- wzmocnić monitoring stacji roboczych deweloperów, zwłaszcza pod kątem nietypowych skryptów bash, użycia
launchctli tworzenia nowych LaunchAgents, - ograniczyć lokalne przechowywanie kluczy prywatnych, tokenów i poświadczeń chmurowych,
- wdrożyć zasadę najmniejszych uprawnień oraz krótkotrwałe mechanizmy uwierzytelniania,
- odseparować stacje użytkowników od systemów CI/CD i krytycznych repozytoriów,
- weryfikować zależności open source, stosować pinning wersji i analizować anomalie w repozytoriach pakietów,
- szkolić pracowników technicznych z rozpoznawania ukierunkowanej socjotechniki,
- korelować zdarzenia z endpointów, systemów IAM, repozytoriów kodu i narzędzi chmurowych,
- przygotować procedury reagowania na incydenty dla macOS, obejmujące analizę artefaktów trwałości, historii poleceń i danych uwierzytelniających.
Podsumowanie
Kampania JINX-0164 pokazuje, jak niebezpieczne staje się połączenie spear phishingu, malware dla macOS i kompromitacji łańcucha dostaw. Szczególnie istotne jest to, że napastnicy koncentrują się na deweloperach i infrastrukturze CI/CD, co zwiększa skalę możliwych szkód daleko poza pojedynczy endpoint.
Dla firm kryptowalutowych oraz zespołów budujących oprogramowanie jest to wyraźny sygnał, że tradycyjna ochrona użytkownika końcowego nie wystarcza. Niezbędne staje się podejście warstwowe, obejmujące EDR, kontrolę dostępu, bezpieczeństwo supply chain oraz dojrzałe procesy wykrywania i reagowania.
Źródła
- https://thehackernews.com/2026/05/jinx-0164-targets-cryptocurrency-firms.html
- https://www.wiz.io/blog/threat-actors-target-crypto-orgs
- https://www.stepsecurity.io/blog/velora-dex-sdk-compromised-on-npm-malicious-version-drops-macos-backdoor-via-launchctl-persistence
- https://safedep.io/malicious-velora-dex-sdk-npm-compromised-rat
- https://www.infosecurity-magazine.com/news/jinx-0164-crypto-developers-macos/