Um novo ator de ameaça rastreado como JINX-0164 tem realizado ataques calculados contra organizações de criptomoedas, usando perfis do LinkedIn para atrair desenvolvedores a baixar malware personalizado para macOS. Ativo desde pelo menos meados de 2025, o grupo combinou engenharia social, roubo de credenciais e sabotagem de cadeia de suprimentos em uma operação que coloca toda a pipeline de desenvolvimento de software em risco.
Cadeia de ataque e vetores de infecção
Os ataques começam com um perfil do LinkedIn convincentemente elaborado alcançando alvos sob o disfarce de uma oportunidade de negócios ou oferta de emprego. Uma vez estabelecida a confiança, as vítimas recebem um convite para reunião vinculado a uma página de plataforma de conferência falsa projetada para parecer com o Microsoft Teams ou serviços similares. Clicar no link aciona o download de uma ferramenta de acesso remoto específica para macOS que começa silenciosamente a roubar dados sensíveis no momento em que é executada.
Os pesquisadores da Wiz.io identificaram e nomearam o cluster de ameaças JINX-0164 após investigar múltiplas intrusões. O ator é motivado financeiramente e tem implantado duas famílias de malware distintas, AUDIOFIX e MINIRAT, com foco claro em dispositivos macOS.
Análise técnica do malware AUDIOFIX e MINIRAT
O AUDIOFIX é um infostealer compilado em Python e backdoor que colhe credenciais de navegador, extensões de carteira de criptomoedas, chaves SSH, tokens de API em nuvem e até dados da área de transferência em tempo real. Ele se comunica com seu servidor de comando e controle (C2) sobre HTTPS criptografado, usando AES-256-CBC, e pode mudar silenciosamente para intervalos de polling aleatórios para evitar detecção.
O MINIRAT é um backdoor leve baseado em Go que registra máquinas infectadas na mesma infraestrutura de C2 usada pelo AUDIOFIX. Embora não realize o mesmo roubo de dados automatizado amplo, ele fornece aos operadores acesso remoto persistente e capacidade de executar comandos e mover arquivos.
Ataque à cadeia de suprimentos via pacote npm
Em 7 de abril de 2026, o JINX-0164 escalou atacando a cadeia de suprimentos de software mais ampla. O grupo modificou silenciosamente a versão 4.9.1 do pacote npm @velora-dex/sdk, um SDK de criptomoedas amplamente utilizado, anexando código que baixaria e executaria um script shell sempre que o pacote fosse importado por qualquer projeto. Esse script entregou o MINIRAT, comprometendo a confiança na infraestrutura de desenvolvimento.
Indicadores de comprometimento (IoCs)
- SHA-256 (AUDIOFIX): 65cba741fe30fa4799fb9002ea8de6d96042a59159dd7c3419c766af24c7a8b4
- SHA-256 (MINIRAT): 0a8ab3d16b12d3a453ee5a3208fe04744ad54514ef8ea27bb8fe32679efad270
- Domínio C2: datahub[.]ink, cloud-sync[.]online
- Arquivo de Persistência: ~/Library/LaunchAgents/com.microsoft.teams.coreaudiod.plist
- Pacote Comprometido: @velora-dex/sdk v4.9.1
Recomendações de segurança para equipes de desenvolvimento
As organizações devem implantar uma solução de detecção e resposta em endpoint (EDR) e habilitar a auditoria de logs em todas as plataformas de nuvem e sistemas de controle de versão por padrão. As equipes de segurança devem monitorar commits não verificados no GitHub, uso inesperado de VPNs e atividade anômala em pipelines de CI/CD. Habilitar o GitHub Vigilant Mode pode ajudar a identificar tentativas de impersonação de desenvolvedores.