摘要:针对加密货币与AI开发者的定向攻击持续升级。黑客通过伪装领英身份发送虚假会议链接,植入AUDIOFIX恶意程序,劫持代码流水线并注入后门,严重威胁开发基础设施安全。
币圈界报道:
黑客利用虚假会议链接实施定向渗透,植入跨架构恶意程序
一个代号为JINX-0164的网络攻击团体正通过领英平台对加密货币领域开发者展开精准打击,以虚拟线上会议为诱饵,诱导目标点击伪造的视频会议链接,从而在macOS系统中部署定制化恶意软件。
伪装会议链接分发支持多芯片架构的AUDIOFIX病毒
攻击者使用精心伪造的领英账号,冒充企业代表发起商务沟通,并推送仿冒微软Teams等主流协作工具的登录页面。当用户访问此类伪装链接时,AUDIOFIX恶意程序将自动下载并静默安装于苹果M系列与英特尔处理器设备上。该程序通过嵌入假冒苹果官网的脚本实现持久驻留,重启后仍可运行,并以系统音频组件形式伪装自身,通过加密通信通道与控制服务器交互。
深度渗透代码仓库与构建环境,制造供应链污染
该组织的核心目标并非普通信息窃取,而是入侵内部代码管理与持续集成/部署(CI/CD)流程。研究人员发现,攻击者已利用非法获取的GitHub令牌,借助开源工具nord-stream提取敏感密钥,并将AUDIOFIX代码注入内部项目。其通过伪造提交记录和签名信息,使恶意变更看似来自合法开发者,成功推送到主分支或关键开发线路。
一旦其他成员拉取受感染代码并执行构建操作,即触发感染链条,导致整个开发流程沦为恶意软件传播路径。尽管GitHub的Vigilant模式曾拦截一次未验证GPG签名的异常提交,但攻击者仍在不断演进战术。
此外,该团伙还曾对公共npm包发动供应链攻击。2026年4月7日,他们向@velora-dex/sdk v4.9.1版本植入恶意逻辑,通过base64编码指令远程下载并执行MINIRAT后门。该后门采用Go语言编写,具备长期驻留能力及远程指令控制功能。
攻击行为特征揭示经济驱动型威胁实体
AUDIOFIX与MINIRAT共用同一命令控制域名,且攻击者通过多重商业VPN服务切换真实位置,规避追踪。尽管其部分战术与其他已知威胁组织存在相似性,但分析确认JINX-0164拥有独立基础设施,属于以盈利为目的的专业化攻击团体。
近期大规模软件包漏洞事件表明,加密货币与人工智能开发团队持有的云平台凭证、GitHub令牌已成为高价值目标。更令人担忧的是,部分被植入恶意代码的包甚至携带伪造的SLSA三级构建证明,直接破坏了基于加密签名的信任验证机制。
鉴于攻击主要瞄准资金与核心技术资产,相关机构应加强开发环境监控,重点排查未经授权的代码提交、异常的CI/CD活动以及非正常来源的VPN连接。所有曾参与过可疑领英会议链接的开发者,建议立即执行全盘系统安全扫描与权限审计。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。