JINX-0164 : le nouveau groupe qui piège les devs crypto avec de faux recruteurs et des malwares sur macOS

L'arsenal de malwares pour macOS : un cheval de Troie à deux têtes

Une fois que la victime a mordu à l'hameçon, JINX-0164 déploie ses charges utiles pour macOS. Wiz a identifié deux composants distincts.

AUDIOFIX, le voleur d'infos en Python

AUDIOFIX est un logiciel espion développé en Python, spécifiquement conçu pour macOS. Il est distribué via les leurres d'ingénierie sociale . Sa mission principale est de localiser et d'exfiltrer les données de portefeuilles de cryptomonnaies, les clés privées et autres secrets de développement stockés sur la machine de la victime .

MINIRAT, la porte dérobée écrite en Go

MINIRAT est un cheval de Troie d'accès à distance (RAT) très complet, codé en langage Go pour macOS. Il offre un accès persistant aux opérateurs. Ses fonctionnalités incluent l'exécution de commandes arbitraires, l'exfiltration de fichiers, et la possibilité de télécharger et lancer d'autres charges malveillantes .

Ce RAT utilise plusieurs techniques de furtivité :

• Évitement des machines virtuelles : Il intègre des contrôles pour détecter s'il tourne dans un environnement virtuel, probablement pour déjouer les bacs à sable d'analyse automatique (sandbox) .
• Trafic de contrôle chiffré : La communication avec le serveur de commande et contrôle (C2) se fait via HTTPS avec une configuration chiffrée en AES .
• Persistance discrète : MINIRAT s'installe via un LaunchAgent déguisé en composant système Apple (com.apple.Terminal.profiler). Cela garantit son exécution automatique à chaque connexion de l'utilisateur, sans éveiller les soupçons .

L'attaque de la chaîne logistique : comment MINIRAT se propage via npm

Un vecteur d'attaque particulièrement dangereux pour MINIRAT a été une compromission pure du registre npm, sans toucher au code source original. Le 7 avril 2026, les attaquants ont publié une version malveillante (v9.4.1) du paquet légitime @velora-dex/sdk sur le registre npm public .

L'attaque a été conçue pour la discrétion. Plutôt que de s'appuyer sur des scripts d'installation ou des hooks suspects (souvent détectés par les outils de sécurité), les assaillants ont injecté seulement trois lignes de code malveillant directement dans le fichier dist/index.js. La charge utile s'exécutait à l'instant même où un développeur utilisait require() ou import avec le paquet compromis dans son projet .

Ce code allait chercher un script shell distant, qui à son tour téléchargeait et installait de manière persistante la porte dérobée MINIRAT sur le système macOS, via la technique du LaunchAgent . Le paquet semblait être une boîte à outils DeFi (finance décentralisée) utile, ce qui en faisait un cheval de Troie redoutable pour cibler les développeurs du secteur crypto.

Au-delà du portable : le piratage de l'infrastructure CI/CD

L'ambition de JINX-0164 ne s'arrête pas à la compromission d'un seul poste de développeur. Wiz rapporte qu'après avoir pris pied sur l'ordinateur portable d'une victime, l'acteur se déplace latéralement pour compromettre les pipelines CI/CD et l'infrastructure de développement au sens large .

Cette étape est critique car elle transforme un simple poste de travail infecté en un risque pour tout le cycle de vie du logiciel. En accédant aux systèmes de build et aux dépôts de code source, un attaquant peut injecter des modifications malveillantes dans des applications internes de confiance ou même dans des versions officielles, démultipliant ainsi l'impact de l'intrusion .

La piste nord-coréenne

La communauté du renseignement sur les menaces n'a pas manqué de relever les techniques familières utilisées. Le profil opérationnel de JINX-0164 ressemble fortement à des campagnes attribuées de longue date à des groupes parrainés par la Corée du Nord, en particulier le groupe Lazarus (également suivi sous les noms d'AppleJeus, Contagious Interview ou DeceptiveDevelopment). Les points communs incluent les fausses offres d'emploi sur LinkedIn, le ciblage des développeurs de cryptomonnaie et un intérêt marqué pour les malwares sur macOS .

La société de cybersécurité ESET a documenté des groupes alignés sur la Corée du Nord utilisant des méthodes quasi identiques — vol de cryptomonnaie, ingénierie sociale sophistiquée — contre des développeurs freelance sur Windows, Linux et macOS . Malgré ces fortes similitudes tactiques, le rapport officiel de Wiz s'abstient de déclarer un lien définitif avec le groupe Lazarus, laissant l'attribution formelle en suspens .

La campagne s'inscrit parfaitement dans un schéma mondial où des acteurs liés à des États utilisent les professionnels de l'IT et les développeurs comme principal vecteur d'accès. Mandiant et GitHub ont tous deux publié des conclusions sur des groupes comme Jade Sleet et des campagnes diffusant le malware COVERTCATCH via des défis de codage similaires pour de faux entretiens .

Pourquoi cette campagne est un signal d'alarme en 2026

JINX-0164 illustre une fusion dangereuse de tendances d'attaque qui se sont accélérées tout au long de 2025 et début 2026. La campagne combine ingénierie sociale ciblée, malwares sur mesure pour une plateforme parfois négligée en matière de sécurité (macOS) et une attaque de la chaîne logistique logicielle via le registre npm. Elle démontre aussi une volonté agressive de passer d'un simple poste de travail aux outils de développement qui créent, compilent et distribuent le code.

Pour les équipes de sécurité des organisations crypto et Web3, la leçon est sans appel : un seul développeur tombant dans le panneau d'un profil LinkedIn trop beau pour être vrai peut entraîner une cascade de compromissions, depuis les portefeuilles personnels jusqu'à l'infrastructure de build. Pour détecter et répondre à de telles menaces, il faut une visibilité non seulement sur les terminaux, mais aussi sur les registres de paquets, le comportement à l'importation de code, et les systèmes CI/CD qui se trouvent en aval.