- O JINX-0164 usa recrutadores falsos do LinkedIn para instalar malware AUDIOFIX em máquinas de desenvolvedores.
- Atacantes colhem tokens do GitHub para injetar código malicioso diretamente nos pipelines de desenvolvimento.
- Pacote npm Velora-Dex/SDK em trojanização em 7 de abril distribuindo backdoor para desenvolvedores de criptomoedas.
Um ator ameaçador anteriormente não documentado está mirando sistematicamente desenvolvedores de criptomoedas por meio de campanhas falsas de recrutamento no LinkedIn, instalando malwares personalizados em seus computadores e depois usando esse acesso para comprometer toda a infraestrutura de desenvolvimento de software da empresa.
A empresa de segurança Wiz nomeou o grupo JINX-0164 e o acompanha desde pelo menos meados de 2025. O grupo realizou múltiplas intrusões bem-sucedidas contra organizações de criptomoedas, em pelo menos um caso tentando um ataque completo à cadeia de suprimentos ao distribuir código malicioso por meio de um pacote público amplamente utilizado.
Como o Ataque Funciona
O ataque segue um padrão consistente em todos os casos documentados:
- Um perfil confiável no LinkedIn entra em contato com uma oportunidade de emprego ou proposta de negócio
- O alvo é convidado para uma reunião virtual por meio do que parece ser o Microsoft Teams ou uma plataforma similar
- O link de encontro leva a um domínio falso onde um arquivo malicioso é baixado sob o pretexto de resolver um problema de áudio ou técnico
- O arquivo instala o AUDIOFIX, um malware personalizado baseado em Python com total capacidade de acesso remoto
- Atacantes coletam senhas, chaves SSH, credenciais do navegador, extensões de carteiras de criptomoedas, chaves AWS e API em nuvem, além de sessões ativas do Discord, Slack e Telegram
- Tokens do GitHub extraídos da máquina comprometida são usados para acessar repositórios internos de código
- Código malicioso é injetado diretamente no pipeline de desenvolvimento, infectando todos os outros desenvolvedores que extraem desses repositórios
Todo o processo, desde o contato inicial no LinkedIn até o comprometimento total do pipeline, levou duas semanas em um único caso documentado.
O Ataque à Cadeia de Suprimentos
Em 7 de abril de 2026, o JINX-0164 trojanizou a versão 9.4.1 do pacote npm @velora-dex/sdk, um SDK de criptomoeda amplamente utilizado. Três linhas de código malicioso foram adicionadas ao pacote que baixava silenciosamente uma porta traseira leve chamada MINIRAT sempre que o pacote era importado por qualquer desenvolvedor.
O ataque teve como alvo credenciais npm em vez do código-fonte do GitHub, o que significa que o repositório parecia limpo enquanto o pacote publicado foi comprometido.
Relacionado: Copa do Mundo FIFA 2026 se transforma em campo de batalha de previsões de criptomoedas
Por que os desenvolvedores são o alvo
Máquinas de desenvolvedor possuem credenciais para cada sistema que o desenvolvedor toca. Infraestrutura em nuvem, repositórios de código, gerenciadores de pacotes, APIs internas. JINX-0164 demonstrou quase nenhum interesse em recursos tradicionais em nuvem após obter acesso. O foco deles era exclusivamente em sistemas de distribuição de código e infraestrutura de desenvolvimento, o caminho mais eficiente para alcançar milhares de usuários finais por meio de um único pacote confiável.
O que observar
A Wiz identificou vários indicadores que ajudaram a detectar o ataque, incluindo badges de commit não verificados no Modo Vigilant do GitHub, descorrespondências entre o histórico de chaves GPG e os autores dos commits, e atividades git push rastreadas até um único endpoint comprometido por meio de logs de auditoria.
O grupo direciona toda a atividade por Mullvad, Astrill e ExpressVPN para mascarar sua origem. Embora nenhuma atribuição definitiva tenha sido confirmada, Wiz observou semelhanças táticas com grupos de ameaça norte-coreanos, incluindo UNC1069 e Sapphire Sleet, embora nenhuma sobreposição de infraestrutura com grupos conhecidos tenha sido identificada.
Relacionado: Michael Saylor Apresenta as Quatro Ideologias do Bitcoin
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
