JINX 0164 es un actor financieramente motivado identificado por Wiz en mayo de 2026. La campaña emplea dos nuevas familias de malware: AUDIOFIX, un infostealer en Python, y MINIRAT, una puerta trasera en Go.

Create a landscape editorial hero image for this Studio Global article: What is the newly disclosed threat actor JINX-0164, as identified by Wiz in May 2026, including its targeting of cryptocurrency organization. Article summary: Here is the full picture of JINX-0164 based on Wiz's May 2026 disclosure and corroborating security research.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "This article lists selected threat actors tracked by Palo Alto Networks Unit 42, using our specific designators for these groups. The information presented here is a list of threat" source context "Threat Actor Groups Tracked by Palo Alto Networks Unit 42 ..." Reference image 2: visual subject "# Threat Actors Merging Malicious Activity With Cryptocurrency Show How the Attack Landscape is Developing in Decentralized Finan
En mayo de 2026, la empresa de seguridad en la nube Wiz reveló la existencia de un nuevo actor de amenazas con motivación económica, al que bautizó como JINX-0164. Este grupo ha estado atacando de forma sistemática a organizaciones de criptomonedas y Web3 con una cadena de ataque en varias etapas que combina una sofisticada ingeniería social, malware a medida para macOS y un astuto ataque a la cadena de suministro de software. El objetivo principal es el robo de activos digitales, pero sus métodos permiten un acceso mucho más profundo a los entornos de desarrollo y a los pipelines de CI/CD (integración y despliegue continuos) .
JINX-0164 no vulnera redes mediante un exploit de firewall o un ataque de diccionario de contraseñas. En su lugar, sus operadores crean perfiles falsos de reclutadores muy convincentes en LinkedIn para apuntar a desarrolladores que trabajan en empresas de criptomonedas y Web3 .
La ingeniería social es creíble y está personalizada. Las víctimas reciben atractivas ofertas de trabajo o propuestas de colaboración. Una vez que se establece un diálogo, se las dirige a descargar y ejecutar un archivo que aparenta ser una prueba técnica, una herramienta para una conferencia o una aplicación de videollamada. Al ejecutar ese archivo, se inicia la infección .
Después de que la víctima ejecuta el señuelo inicial, JINX-0164 despliega sus payloads a medida para macOS. Wiz identificó dos componentes diferenciados en esta campaña.
AUDIOFIX es un infostealer programado en Python y diseñado específicamente para macOS. Se distribuye a través de los señuelos de ingeniería social . Su función principal es localizar y extraer información de monederos de criptomonedas, claves privadas y otros secretos de desarrollador del equipo de la víctima
.
MINIRAT es un troyano de acceso remoto (RAT) completo, programado en Go para macOS, que proporciona un acceso encubierto persistente. Sus capacidades incluyen la ejecución arbitraria de comandos de shell, la exfiltración de archivos y la descarga e instalación de payloads secundarios .
Este troyano utiliza varias técnicas de evasión:
LaunchAgent camuflado como un componente del sistema de Apple (com.apple.Terminal.profiler), lo que asegura que se reinicie cada vez que el usuario inicia sesión Un vector de ataque especialmente peligroso para MINIRAT fue un ataque puro a la cadena de suministro a nivel del registro de paquetes. El 7 de abril de 2026, los actores de la amenaza publicaron una versión maliciosa (v9.4.1) del paquete legítimo @velora-dex/sdk en el registro de npm .
El ataque fue sigiloso por diseño. En lugar de depender de scripts de instalación o hooks sospechosos (comandos que las herramientas de seguridad suelen detectar), los atacantes inyectaron solo tres líneas de código malicioso directamente en dist/index.js. El payload se ejecutaba en el mismo momento en que un desarrollador hacía un require() o un import del paquete comprometido .
Este código se encargaba de descargar un script de shell remoto que, a su vez, descargaba e instalaba la puerta trasera MINIRAT en el sistema macOS mediante la técnica del LaunchAgent . El paquete aparentaba ser un kit de herramientas DeFi (finanzas descentralizadas) muy útil, lo que lo convertía en un caballo de Troya muy eficaz para atacar a desarrolladores del espacio cripto.
La ambición de JINX-0164 va más allá de los equipos de un solo desarrollador. Wiz informa que, después de afianzarse en el portátil de una víctima, el actor se movía lateralmente para comprometer los pipelines de CI/CD y la infraestructura de desarrollo en general .
Esta etapa del ataque es crítica, porque convierte un solo portátil comprometido en un riesgo potencial para todo el ciclo de vida del desarrollo de software. Al acceder a sistemas de compilación y repositorios de código, un actor de amenazas podría inyectar cambios maliciosos en aplicaciones internas de confianza o incluso en versiones oficiales, amplificando drásticamente el impacto de la intrusión .
La comunidad de inteligencia de amenazas no ha pasado por alto las técnicas familiares en juego. El perfil operativo de JINX-0164 es muy similar a las campañas que se atribuyen desde hace tiempo a grupos patrocinados por el estado norcoreano, en particular el Grupo Lazarus (también rastreado como AppleJeus, Contagious Interview o DeceptiveDevelopment). El ADN común incluye ofertas de empleo falsas en LinkedIn, el objetivo de los desarrolladores de criptomonedas y un enfoque constante en malware específico para macOS .
ESET ha documentado que grupos alineados con Corea del Norte utilizan métodos casi idénticos para el robo de criptomonedas y la ingeniería social contra desarrolladores freelance en Windows, Linux y macOS . A pesar de estas fuertes coincidencias tácticas, el informe oficial de Wiz se detiene antes de declarar un vínculo definitivo con el Grupo Lazarus de Corea del Norte, dejando la atribución formal abierta
.
La campaña encaja a la perfección en un patrón global de actores alineados con Estados que utilizan a trabajadores de TI y desarrolladores como principal vector de acceso. Mandiant y GitHub han publicado hallazgos sobre grupos como Jade Sleet y clústeres que distribuyen malware COVERTCATCH a través de desafíos de programación falsos en ofertas de empleo similares .
JINX-0164 refleja una peligrosa fusión de tendencias de ataque que se han acelerado a lo largo de 2025 y principios de 2026. Combina ingeniería social dirigida, malware a medida para una plataforma a menudo ignorada (macOS) y un ataque a la cadena de suministro de npm a nivel de registro. También demuestra un apetito agresivo por saltar de los endpoints a las herramientas de desarrollo que crean, compilan y distribuyen código.
Para los equipos de seguridad de las organizaciones de criptomonedas y Web3, la lección es contundente: un solo desarrollador que caiga en una elaborada oferta de LinkedIn puede provocar una cascada de compromisos, desde los monederos personales hasta la infraestructura de compilación principal. La capacidad de detectar y responder requiere visibilidad no solo en los endpoints, sino también en los registros de paquetes, el comportamiento en tiempo de importación y los sistemas de CI/CD que se encuentran en las fases posteriores.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
JINX 0164 es un actor financieramente motivado identificado por Wiz en mayo de 2026.
JINX 0164 es un actor financieramente motivado identificado por Wiz en mayo de 2026. La campaña emplea dos nuevas familias de malware: AUDIOFIX, un infostealer en Python, y MINIRAT, una puerta trasera en Go.
Aunque las tácticas de JINX 0164 coinciden con las del Grupo Lazarus de Corea del Norte, Wiz aún no ha emitido una atribución formal definitiva.