- JINX-0164 utiliza reclutadores falsos de LinkedIn para instalar malware AUDIOFIX en ordenadores de desarrolladores.
- Los atacantes recolectan tokens de GitHub para inyectar código malicioso directamente en las canaletas de desarrollo.
- El 7 de abril el paquete npm trojanizado de Velora-Dex/SDK distribuyó backdoor a desarrolladores cripto.
Un actor amenazante previamente no documentado está atacando sistemáticamente a desarrolladores de criptomonedas mediante campañas de reclutamiento falsas en LinkedIn, instalando malware personalizado en sus ordenadores y luego utilizando ese acceso para comprometer toda la infraestructura de desarrollo de software de la empresa.
La empresa de seguridad Wiz ha nombrado al grupo JINX-0164 y lo ha estado rastreando al menos desde mediados de 2025. El grupo ha llevado a cabo múltiples intrusiones exitosas contra organizaciones de criptomonedas, intentando al menos en un caso un ataque completo a la cadena de suministro mediante la distribución de código malicioso a través de un paquete público ampliamente utilizado.
Cómo funciona el ataque
El ataque sigue un patrón consistente en cada caso documentado:
- Un perfil de LinkedIn creíble contacta con una oferta de trabajo o una propuesta de negocio
- El objetivo es invitado a una reunión virtual a través de lo que parece ser Microsoft Teams o una plataforma similar
- El enlace de encuentro conduce a un dominio falso donde se descarga un archivo malicioso bajo el pretexto de arreglar un problema de audio o técnico
- El archivo instala AUDIOFIX, un malware personalizado basado en Python con capacidades completas de acceso remoto
- Los atacantes recolectan contraseñas, claves SSH, credenciales de navegador, extensiones de monederos de criptomonedas, claves de AWS y API en la nube, y sesiones activas de Discord, Slack y Telegram
- Los tokens de GitHub extraídos de la máquina comprometida se utilizan para acceder a repositorios internos de código
- El código malicioso se inyecta directamente en la cadena de desarrollo, infectando a todos los demás desarrolladores que extraen de esos repositorios
Todo el proceso, desde el contacto inicial con LinkedIn hasta la concesión total de la canalización, duró dos semanas en un solo caso documentado.
El ataque a la cadena de suministro
El 7 de abril de 2026, JINX-0164 trojanizó la versión 9.4.1 del paquete npm @velora-dex/sdk, un SDK de criptomoneda ampliamente utilizado. Se añadieron tres líneas de código malicioso al paquete que descargaba silenciosamente una puerta trasera ligera llamada MINIRAT cada vez que el paquete era importado por cualquier desarrollador.
El ataque se dirigió a las credenciales npm en lugar del código fuente de GitHub, lo que significaba que el repositorio parecía limpio mientras que el paquete publicado estaba comprometido.
Relacionado: La Copa Mundial de la FIFA 2026 se convierte en un campo de batalla para las predicciones cripto
Por qué los promotores son el objetivo
Las máquinas de desarrollador tienen credenciales para cada sistema que el desarrollador toca. Infraestructura en la nube, repositorios de código, gestores de paquetes, APIs internas. JINX-0164 mostró casi ningún interés en los recursos tradicionales en la nube tras obtener acceso. Su enfoque estaba exclusivamente en los sistemas de distribución de código e infraestructura de desarrollo, el camino más eficiente para llegar a miles de usuarios finales a través de un único paquete de confianza.
Qué hay que vigilar
Wiz identificó varios indicadores que ayudaron a detectar el ataque, incluyendo insignias de commit no verificadas en el Modo Vigilant de GitHub, desajustes entre el historial de claves de GPG y los autores de los commits, y actividades git push rastreadas hasta un único endpoint comprometido a través de registros de auditoría.
El grupo redirige toda la actividad a través de Mullvad, Astrill y ExpressVPN para ocultar su origen. Aunque no se ha confirmado una atribución definitiva, Wiz señaló similitudes tácticas con grupos de amenaza norcoreanos, incluyendo UNC1069 y Sapphire Sleet, aunque no se ha identificado ninguna superposición de infraestructuras con grupos conocidos.
Relacionado: Michael Saylor expone las cuatro ideologías de Bitcoin
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
