JINX-0164 secuestra las máquinas de desarrolladores de criptomonedas mediante enlaces de reuniones falsos

JINX-0164: Nuevo grupo hackea desarrolladores de cripto con reuniones falsas

Un grupo de hackers llamado JINX-0164 está atacando a desarrolladores de criptomonedas a través de LinkedIn, usando enlaces falsos a reuniones para infectar sus equipos con malware personalizado.

• Ataque inicial: Contactan por LinkedIn con un perfil falso, proponen una llamada y envían un enlace que imita a Microsoft Teams.
• Malware AUDIOFIX: Se instala silenciosamente en macOS (Intel y Apple Silicon). Roba contraseñas, claves SSH, tokens de nube (AWS, GCP, Azure) y datos de wallets cripto.
• Objetivo real: No solo roban información, sino que secuestran repositorios de código y pipelines de CI/CD.

Infiltración en el desarrollo

JINX-0164 va más allá del robo de datos. Usan tokens de GitHub robados para inyectar su malware en repositorios internos, suplantando a desarrolladores legítimos mediante la falsificación de firmas Git. Así, cualquier otro desarrollador que compile desde esos repositorios también se infecta.

En abril de 2026, lograron un ataque a la cadena de suministro de npm, infectando el paquete @velora-dex/sdk con una puerta trasera llamada MINIRAT.

Señales de alerta y recomendaciones

El grupo usa VPNs (Mullvad, Astrill, ExpressVPN) para ocultarse. Se les vincula tácticamente con grupos norcoreanos, pero se les considera un actor independiente con motivaciones financieras.

Para protegerse:

• Revisar pipelines de CI/CD en busca de accesos no autorizados.
• Activar el Modo Vigilante de GitHub para detectar commits sin firma GPG.
• Analizar en busca de virus cualquier equipo tras participar en reuniones agendadas por LinkedIn.