Peretas Menggunakan Pekerjaan LinkedIn Palsu untuk Mencuri Pipa Kode Pengembang Kripto

• JINX-0164 menggunakan perekrut LinkedIn palsu untuk menginstal malware AUDIOFIX pada mesin pengembang.
• Penyerang memanen token GitHub untuk menyuntikkan kode berbahaya langsung ke pipeline pengembangan.
• Paket npm trojanized grup velora-dex/sdk pada 7 April mendistribusikan backdoor ke pengembang kripto.

Aktor ancaman yang sebelumnya tidak terdokumentasi secara sistematis menargetkan pengembang cryptocurrency melalui kampanye rekrutmen LinkedIn palsu, menginstal malware khusus di komputer mereka dan kemudian menggunakan akses itu untuk membahayakan seluruh infrastruktur pengembangan perangkat lunak perusahaan.

Perusahaan keamanan Wiz telah menamai grup tersebut JINX-0164 dan telah melacaknya setidaknya sejak pertengahan 2025. Kelompok ini telah melakukan beberapa intrusi yang berhasil terhadap organisasi cryptocurrency, setidaknya dalam satu kasus mencoba serangan rantai pasokan penuh dengan mendistribusikan kode berbahaya melalui paket publik yang banyak digunakan.

Cara Kerja Serangan

Serangan ini mengikuti pola yang konsisten di setiap kasus yang didokumentasikan:

• Profil LinkedIn yang kredibel menjangkau peluang kerja atau proposal bisnis
• Target diundang ke rapat virtual melalui apa yang tampaknya menjadi Microsoft Teams atau platform serupa
• Tautan rapat mengarah ke domain palsu di mana file berbahaya diunduh dengan kedok memperbaiki masalah audio atau teknis
• File tersebut menginstal AUDIOFIX, malware berbasis Python khusus dengan kemampuan akses jarak jauh penuh
• Penyerang memanen kata sandi, kunci SSH, kredensial browser, ekstensi dompet mata uang kripto, kunci API AWS dan cloud, dan sesi aktif dari Discord, Slack, dan Telegram
• Token GitHub yang diekstrak dari mesin yang disusupi digunakan untuk mengakses repositori kode internal
• Kode berbahaya disuntikkan langsung ke pipeline pengembangan, menginfeksi setiap pengembang lain yang menarik dari repositori tersebut

Seluruh proses mulai dari kontak LinkedIn awal hingga kompromi pipa penuh memakan waktu dua minggu dalam satu kasus yang didokumentasikan.

Serangan Rantai Pasokan

Pada 7 April 2026, JINX-0164 trojanisasi versi 9.4.1 dari paket npm @velora-dex/sdk, SDK mata uang kripto yang banyak digunakan. Tiga baris kode berbahaya ditambahkan ke paket yang diam-diam mengunduh backdoor ringan yang disebut MINIRAT setiap kali paket diimpor oleh pengembang mana pun.

Serangan ini menargetkan kredensial npm daripada kode sumber GitHub, yang berarti repositori tampak bersih saat paket yang diterbitkan disusupi.

Terkait: Piala Dunia FIFA 2026 Berubah Menjadi Medan Pertempuran Prediksi Kripto

Mengapa Pengembang Menjadi Target

Mesin pengembang menyimpan kredensial untuk setiap sistem yang disentuh pengembang. Infrastruktur cloud, repositori kode, pengelola paket, API internal. JINX-0164 hampir tidak menunjukkan minat pada sumber daya cloud tradisional setelah mendapatkan akses. Fokus mereka secara eksklusif pada sistem distribusi kode dan infrastruktur pengembangan, jalur paling efisien untuk menjangkau ribuan pengguna akhir melalui satu paket tepercaya.

Apa yang Harus Diperhatikan

Wiz mengidentifikasi beberapa indikator yang membantu mendeteksi serangan termasuk lencana commit yang belum diverifikasi pada Mode Vigilant GitHub, ketidakcocokan antara riwayat kunci GPG dan penulis komit, dan aktivitas push git yang dilacak kembali ke satu titik akhir yang disusupi melalui log audit.

Grup ini merutekan semua aktivitas melalui Mullvad, Astrill, dan ExpressVPN untuk menutupi asalnya. Meskipun tidak ada atribusi pasti yang dikonfirmasi, Wiz mencatat kesamaan taktis dengan kelompok ancaman Korea Utara termasuk UNC1069 dan Sapphire Sleet, meskipun tidak ada infrastruktur yang tumpang tindih dengan kelompok yang diketahui telah diidentifikasi.

Terkait: Michael Saylor Menguraikan Empat Ideologi Bitcoin