Хакеры используют фейковые задания LinkedIn, чтобы украсть конвейеры кода крипторазработчиков

Ранее незарегистрированный злоумышленник систематически нацеливается на разработчиков криптовалют через фейковые кампании по набору в LinkedIn, устанавливая на их компьютеры специализированное вредоносное ПО и затем используя этот доступ для компрометации всей инфраструктуры разработки программного обеспечения компании.

Охранная фирма Wiz назвала группу JINX-0164 и отслеживает её как минимум с середины 2025 года. Группа совершила несколько успешных вторжений против криптовалютных организаций, по крайней мере в одном случае пытаясь провести полноценную атаку на цепочку поставок путем распространения вредоносного кода через широко используемый публичный пакет.

Как работает атака

Атака следует последовательной схеме во всех задокументированных случаях:

• Надёжный профиль в LinkedIn связывается с вакансией или бизнес-предложением
• Цель приглашается на виртуальную встречу через платформу, по-видимому, Microsoft Teams или аналогичную платформу
• Ссылка на встречу ведёт на фейковый домен, где под предлогом исправления аудио- или технической проблемы скачивается вредоносный файл
• Файл устанавливает AUDIOFIX — пользовательское вредоносное ПО на Python с полноценным доступом к удалённому доступу
• Злоумышленники собирают пароли, SSH-ключи, учетные данные браузера, расширения криптовалютных кошельков, ключи AWS и облачных API, а также активные сессии из Discord, Slack и Telegram
• Токены GitHub, извлечённые из скомпрометированной машины, используются для доступа к внутренним репозиториям кода
• Вредоносный код внедряется напрямую в конвейер разработки, заражая всех остальных разработчиков, которые используют данные из этих репозиториев

Весь процесс — от первого контакта с LinkedIn до полного компромета конвейера — занял две недели в одном задокументированном случае.

Атака на цепочку поставок

7 апреля 2026 года JINX-0164 троянизировал версию 9.4.1 пакета npm @velora-dex/sdk, широко используемого криптовалютного SDK. К пакету добавлялись три строки вредоносного кода, который бесшумно скачивал лёгкий бэкдор под названием MINIRAT при импорте пакета каким-либо разработчиком.

Атака была направлена на npm-учетные данные, а не на исходный код GitHub, что означало, что репозиторий выглядел чистым, пока опубликованный пакет был скомпрометирован.

Связано: Чемпионат мира по футболу FIFA 2026 превращается в поле битвы криптопрогнозов

Почему разработчики — цель

Машины разработчиков хранят учетные данные для каждой системы, к которой прикасается разработчик. Облачная инфраструктура, репозитории кода, менеджеры пакетов, внутренние API. JINX-0164 почти не проявила интереса к традиционным облачным ресурсам после получения доступа. Их внимание было сосредоточено исключительно на системах распространения кода и инфраструктуре разработки — самом эффективном пути к охвату тысяч конечных пользователей через единый доверенный пакет.

На что стоит обратить внимание

Wiz выявил несколько индикаторов, которые помогли обнаружить атаку, включая непроверенные бейджи коммита в режиме Vigilant на GitHub, несоответствия между историей ключей GPG и авторами коммитов, а также активности git-push, отследённые до одной скомпрометированной концевой точки через журналы аудита.

Группа направляет всю активность через Mullvad, Astrill и ExpressVPN, чтобы скрыть их происхождение. Хотя окончательное приписывание не подтверждено, Wiz отметил тактическое сходство с северокорейскими группами, включая UNC1069 и Sapphire Sleet, хотя инфраструктурных пересечений с известными группами не выявлено.

Связано: Майкл Сейлор описывает четыре идеологии биткоина

Источник