JINX-0164: Así opera el grupo que usa reclutadores falsos en LinkedIn y malware para macOS contra el sector cripto

Un arsenal de malware dual para macOS

Después de que la víctima ejecuta el señuelo inicial, JINX-0164 despliega sus payloads a medida para macOS. Wiz identificó dos componentes diferenciados en esta campaña.

AUDIOFIX: infostealer en Python

AUDIOFIX es un infostealer programado en Python y diseñado específicamente para macOS. Se distribuye a través de los señuelos de ingeniería social . Su función principal es localizar y extraer información de monederos de criptomonedas, claves privadas y otros secretos de desarrollador del equipo de la víctima .

MINIRAT: troyano de acceso remoto en Go

MINIRAT es un troyano de acceso remoto (RAT) completo, programado en Go para macOS, que proporciona un acceso encubierto persistente. Sus capacidades incluyen la ejecución arbitraria de comandos de shell, la exfiltración de archivos y la descarga e instalación de payloads secundarios .

Este troyano utiliza varias técnicas de evasión:

• Evasión de máquinas virtuales (anti-VM): Incluye comprobaciones para detectar si se está ejecutando en una máquina virtual, probablemente para frustrar los entornos de análisis automatizado de malware (sandboxes) .
• Tráfico C2 cifrado: La comunicación con el servidor de comando y control se realiza a través de HTTPS con una configuración cifrada con AES .
• Persistencia sigilosa: MINIRAT instala un LaunchAgent camuflado como un componente del sistema de Apple (com.apple.Terminal.profiler), lo que asegura que se reinicie cada vez que el usuario inicia sesión .

El ataque a la cadena de suministro: cómo se propaga MINIRAT a través de npm

Un vector de ataque especialmente peligroso para MINIRAT fue un ataque puro a la cadena de suministro a nivel del registro de paquetes. El 7 de abril de 2026, los actores de la amenaza publicaron una versión maliciosa (v9.4.1) del paquete legítimo @velora-dex/sdk en el registro de npm .

El ataque fue sigiloso por diseño. En lugar de depender de scripts de instalación o hooks sospechosos (comandos que las herramientas de seguridad suelen detectar), los atacantes inyectaron solo tres líneas de código malicioso directamente en dist/index.js. El payload se ejecutaba en el mismo momento en que un desarrollador hacía un require() o un import del paquete comprometido .

Este código se encargaba de descargar un script de shell remoto que, a su vez, descargaba e instalaba la puerta trasera MINIRAT en el sistema macOS mediante la técnica del LaunchAgent . El paquete aparentaba ser un kit de herramientas DeFi (finanzas descentralizadas) muy útil, lo que lo convertía en un caballo de Troya muy eficaz para atacar a desarrolladores del espacio cripto.

Más allá del portátil: el secuestro de la infraestructura CI/CD

La ambición de JINX-0164 va más allá de los equipos de un solo desarrollador. Wiz informa que, después de afianzarse en el portátil de una víctima, el actor se movía lateralmente para comprometer los pipelines de CI/CD y la infraestructura de desarrollo en general .

Esta etapa del ataque es crítica, porque convierte un solo portátil comprometido en un riesgo potencial para todo el ciclo de vida del desarrollo de software. Al acceder a sistemas de compilación y repositorios de código, un actor de amenazas podría inyectar cambios maliciosos en aplicaciones internas de confianza o incluso en versiones oficiales, amplificando drásticamente el impacto de la intrusión .

La posible conexión con Corea del Norte

La comunidad de inteligencia de amenazas no ha pasado por alto las técnicas familiares en juego. El perfil operativo de JINX-0164 es muy similar a las campañas que se atribuyen desde hace tiempo a grupos patrocinados por el estado norcoreano, en particular el Grupo Lazarus (también rastreado como AppleJeus, Contagious Interview o DeceptiveDevelopment). El ADN común incluye ofertas de empleo falsas en LinkedIn, el objetivo de los desarrolladores de criptomonedas y un enfoque constante en malware específico para macOS .

ESET ha documentado que grupos alineados con Corea del Norte utilizan métodos casi idénticos para el robo de criptomonedas y la ingeniería social contra desarrolladores freelance en Windows, Linux y macOS . A pesar de estas fuertes coincidencias tácticas, el informe oficial de Wiz se detiene antes de declarar un vínculo definitivo con el Grupo Lazarus de Corea del Norte, dejando la atribución formal abierta .

La campaña encaja a la perfección en un patrón global de actores alineados con Estados que utilizan a trabajadores de TI y desarrolladores como principal vector de acceso. Mandiant y GitHub han publicado hallazgos sobre grupos como Jade Sleet y clústeres que distribuyen malware COVERTCATCH a través de desafíos de programación falsos en ofertas de empleo similares .

Por qué esta campaña es una advertencia para 2026

JINX-0164 refleja una peligrosa fusión de tendencias de ataque que se han acelerado a lo largo de 2025 y principios de 2026. Combina ingeniería social dirigida, malware a medida para una plataforma a menudo ignorada (macOS) y un ataque a la cadena de suministro de npm a nivel de registro. También demuestra un apetito agresivo por saltar de los endpoints a las herramientas de desarrollo que crean, compilan y distribuyen código.

Para los equipos de seguridad de las organizaciones de criptomonedas y Web3, la lección es contundente: un solo desarrollador que caiga en una elaborada oferta de LinkedIn puede provocar una cascada de compromisos, desde los monederos personales hasta la infraestructura de compilación principal. La capacidad de detectar y responder requiere visibilidad no solo en los endpoints, sino también en los registros de paquetes, el comportamiento en tiempo de importación y los sistemas de CI/CD que se encuentran en las fases posteriores.