一个代号为JINX-0164的网络攻击团体正以精准方式针对加密货币领域开发者,其手段包括通过领英平台发起社交工程攻击,诱使目标点击伪造的视频会议链接,从而在macOS设备上部署定制化恶意软件。
攻击者使用伪装成专业身份的领英账号,提出商务沟通请求并附带仿冒微软Teams等主流协作工具的登录页面。当用户访问该伪造链接时,AUDIOFIX恶意程序将悄然安装于苹果M系列与英特尔芯片的Mac设备上。该病毒通过嵌入于假冒苹果官网的脚本进行传播,具备重启自启能力,并伪装为系统音频服务,借助HTTPS协议与远程控制服务器通信,规避检测。
一旦激活,该程序可提取macOS钥匙串中的各类敏感信息,包括浏览器密码、SSH密钥、AWS/GCP/Azure云账户令牌及加密钱包数据。此外,攻击者还部署了钓鱼机制,将窃取内容编码后存储于隐蔽文件中,便于后续提取。
JINX-0164的攻击策略超越一般信息窃取行为,聚焦于对内部代码管理与自动化部署环境的破坏性入侵。据分析,攻击者曾利用非法获取的GitHub访问令牌,借助开源工具nord-stream从CI/CD管道中提取敏感密钥,并将AUDIOFIX代码注入内部源码库。
他们通过伪造提交者身份与时间戳,冒充合法开发者推送恶意变更至主分支或关键开发分支。当其他团队成员拉取更新并构建项目时,即会自动感染,导致整个开发流程成为恶意软件的传播路径。尽管GitHub的Vigilant模式曾成功拦截一次此类未验证签名的异常提交,但攻击手法仍在持续演化。
该组织亦实施过针对公共npm包的供应链攻击。2026年4月7日,其将恶意代码植入@velora-dex/sdk 4.9.1版本,通过base64编码指令触发远程脚本下载并执行MINIRAT后门。该后门采用Go语言编写,专精于维持长期驻留状态与接收远程指令。
AUDIOFIX与MINIRAT共享同一命令控制域名,表明两者属于统一攻击链路。攻击者利用多个商业级VPN服务隐藏真实地理定位,其战术模式虽与部分已知威胁组织存在重叠,但技术独立性与基础设施自主性已被确认,判定其为以牟利为目的的独立威胁团伙。
近期大规模软件包攻击事件反映出,加密货币与人工智能项目所持有的高价值凭证——如GitHub令牌与云平台权限——已成为主要攻击目标。更令人担忧的是,某些恶意软件包甚至携带有效的SLSA三级构建证明,严重侵蚀了基于数字签名的信任体系完整性。
此类攻击通常旨在窃取资金或核心代码资产。相关研发机构应强化对CI/CD流程的安全审计,重点关注未授权的GitHub操作、无验证签名的提交行为以及异常的远程连接记录。曾参与疑似虚假会议的开发者须立即执行全面系统扫描,防范潜在持久化风险。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.