摘要:黑客组织JINX-0164通过伪装领英联系人发送虚假会议链接,向开发者设备植入AUDIOFIX恶意程序,劫持代码流水线并窃取云凭证与钱包数据。该组织还利用npm包注入后门,破坏信任机制。
币圈界报道:
黑客团伙以虚假会议为饵实施定向代码渗透
一个代号为JINX-0164的网络攻击团体正通过社交平台领英对加密货币领域开发者展开精准打击,诱导其点击伪造的视频会议链接,从而在macOS系统中部署定制化恶意软件。
伪装成会议入口的AUDIOFIX病毒悄然安装
攻击者使用虚构身份在领英上发起商务沟通,推送仿冒微软Teams等主流协作工具的登录页面。当目标用户点击链接后,会触发针对英特尔与苹果M系列芯片的macOS恶意程序下载,该程序以系统音频组件形式驻留,通过HTTPS通道与远程服务器通信,具备重启自启能力。
感染后,该程序将提取钥匙串中的各类敏感信息,包括浏览器密码、SSH密钥、云服务访问令牌及数字钱包资料,并通过编码文件存储窃取内容。部分攻击行为还伴随直接钓鱼环节,进一步扩大数据泄露范围。
专攻开发环境的供应链投毒手段曝光
JINX-0164的核心策略是入侵内部代码仓库与持续集成/交付流程。研究人员发现,攻击者利用窃取的GitHub凭据,借助开源工具nord-stream从CI/CD管道中提取加密密钥,并将AUDIOFIX植入源码库。
通过伪造提交者身份和元数据,恶意代码被伪装成合法更新推送至主分支或关键功能分支。任何拉取受污染代码的开发者在构建过程中都将自动感染,使整个开发流程沦为恶意软件传播链。
尽管GitHub的Vigilant模式曾拦截一次未验证GPG签名的异常提交,但此类攻击仍频繁发生。此外,该组织于2026年4月7日对公共npm包@velora-dex/sdk的4.9.1版本发动供应链攻击,嵌入base64编码指令以远程下载并执行名为MINIRAT的Go语言后门,实现持久驻留与远程控制。
攻击者行为特征揭示独立经济动机
AUDIOFIX与后续部署的MINIRAT共用同一命令控制域名,攻击者通过多跳商业VPN隐藏真实地理定位。分析显示其战术虽与部分已知威胁组织存在重叠,但拥有独立基础设施,明确以获取经济利益为目标。
近期大规模软件包攻击事件表明,加密货币与人工智能项目中的开发者账户权限已成为高价值目标。更令人担忧的是,部分恶意软件包甚至携带伪造的SLSA三级构建证明,严重侵蚀了基于加密验证的可信构建体系。
针对此类威胁,建议相关机构加强CI/CD审计,重点关注未经授权的代码提交、异常的VPN连接及非预期的GPG签名。所有曾参与过可疑领英会议链接的开发者应立即执行全盘系统扫描,排查潜在植入风险。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。