- JINX-0164 utilise de faux recruteurs LinkedIn pour installer des logiciels malveillants AUDIOFIX sur les machines des développeurs.
- Les attaquants récoltent des jetons GitHub pour injecter du code malveillant directement dans les pipelines de développement.
- Le groupe a trojanisé le paquet npm velora-dex/sdk le 7 avril, distribuant la backdoor aux développeurs crypto.
Un acteur de menace jusque-là non documenté vise systématiquement les développeurs de cryptomonnaies via de fausses campagnes de recrutement sur LinkedIn, installe des malwares personnalisés sur leurs ordinateurs puis utilise cet accès pour compromettre toute l’infrastructure de développement logiciel de l’entreprise.
La société de sécurité Wiz a nommé le groupe JINX-0164 et le suit depuis au moins la mi-2025. Le groupe a mené de multiples intrusions réussies contre des organisations de cryptomonnaies, tentant dans au moins un cas une attaque complète de la chaîne d’approvisionnement en distribuant un code malveillant via un package public largement utilisé.
Comment fonctionne l’attaque
L’attaque suit un schéma cohérent à travers chaque cas documenté :
- Un profil LinkedIn crédible vous contacte avec une opportunité d’emploi ou une proposition d’affaires
- La cible est invitée à une réunion virtuelle via ce qui semble être Microsoft Teams ou une plateforme similaire
- Le lien de rencontre mène à un faux domaine où un fichier malveillant est téléchargé sous prétexte de résoudre un problème audio ou technique
- Le fichier installe AUDIOFIX, un malware personnalisé basé sur Python avec des capacités complètes d’accès à distance
- Les attaquants récoltent des mots de passe, des clés SSH, des identifiants de navigateur, des extensions de portefeuilles en cryptomonnaies, des clés AWS et API cloud, ainsi que des sessions actives via Discord, Slack et Telegram
- Les jetons GitHub extraits de la machine compromise sont utilisés pour accéder aux dépôts de code internes
- Du code malveillant est injecté directement dans le pipeline de développement, infectant tous les autres développeurs qui extraient de ces dépôts
L’ensemble du processus depuis le premier contact LinkedIn jusqu’à la compromission complète du pipeline a pris deux semaines dans un seul cas documenté.
L’attaque de la chaîne d’approvisionnement
Le 7 avril 2026, JINX-0164 a trojanisé la version 9.4.1 du paquet npm @velora-dex/sdk, un SDK de cryptomonnaie largement utilisé. Trois lignes de code malveillant étaient ajoutées au paquet qui téléchargeait silencieusement une porte dérobée légère appelée MINIRAT chaque fois que le paquet était importé par un développeur.
L’attaque visait les identifiants npm plutôt que le code source de GitHub, ce qui signifiait que le dépôt paraissait propre tandis que le paquet publié était compromis.
En lien : La Coupe du Monde FIFA 2026 se transforme en champ de bataille des prédictions crypto
Pourquoi les développeurs sont la cible
Les machines de développement détiennent des identifiants pour chaque système que le développeur touche. Infrastructure cloud, dépôts de code, gestionnaires de paquets, API internes. JINX-0164 a montré presque aucun intérêt pour les ressources cloud traditionnelles après avoir obtenu l’accédre. Leur focus était exclusivement porté sur les systèmes de distribution de code et l’infrastructure de développement, la voie la plus efficace pour atteindre des milliers d’utilisateurs finaux via un seul package de confiance.
À quoi faire attention
Wiz a identifié plusieurs indicateurs ayant aidé à détecter l’attaque, notamment des badges de validation non vérifiés sur le mode Vigilant de GitHub, des incompatibilités entre l’historique des clés GPG et les auteurs de commits, ainsi que des activités git push retracées jusqu’à un seul point de terminaison compromis via des journaux d’audit.
Le groupe redirige toute l’activité via Mullvad, Astrill et ExpressVPN pour masquer leur origine. Bien qu’aucune attribution définitive n’ait été confirmée, Wiz a noté des similitudes tactiques avec des groupes de menace nord-coréens, notamment UNC1069 et Sapphire Sleet, bien qu’aucun chevauchement d’infrastructures avec des groupes connus n’ait été identifié.
En lien : Michael Saylor expose les quatre idéologies du Bitcoin
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
