Falsas reuniones por LinkedIn esconden malware dirigido a desarrolladores cripto: informe

Malware en LinkedIn: Una Nueva Amenaza para Desarrolladores Cripto

Una campaña de ciberataques, atribuida al grupo JINX-0164, está utilizando perfiles falsos en LinkedIn y reuniones virtuales fraudulentas para infectar a desarrolladores de criptomonedas con un malware llamado AUDIOFIX.

• Ataque dirigido a desarrolladores de cripto y tecnología.
• Vector principal: LinkedIn, con perfiles falsos de reclutadores.
• Malware clave: AUDIOFIX, diseñado para robar credenciales y datos.

El Modus Operandi: Reuniones Falsas

Los atacantes contactan a sus víctimas en LinkedIn, haciéndose pasar por reclutadores o socios. Tras ganar su confianza, proponen una videollamada y envían un enlace a un sitio web falso que imita a plataformas como Microsoft Teams. Al hacer clic, la víctima descarga e instala AUDIOFIX en su equipo macOS.

AUDIOFIX: Un Robo Silencioso

Una vez instalado, AUDIOFIX se oculta como un componente de audio. Su verdadero objetivo es robar información sensible:

• Contraseñas del llavero de macOS y navegadores.
• Claves SSH y tokens de servicios cloud (AWS, Google Cloud, Azure).
• Datos de billeteras de criptomonedas.

El Objetivo Real: La Cadena de Suministro

El grupo JINX-0164 no solo busca robar credenciales. Su meta es comprometer repositorios de código y sistemas de integración continua (CI/CD). Con acceso a GitHub, pueden insertar código malicioso en proyectos legítimos, infectando a otros desarrolladores que descarguen el software. Se ha confirmado un ataque al paquete npm @velora-dex/sdk.

Recomendaciones de Seguridad

Para protegerse, se recomienda:

• Revisar repositorios en busca de commits sospechosos.
• Habilitar autenticación multifactor en GitHub y npm.
• Desconfiar de reuniones iniciadas por contactos desconocidos en LinkedIn.