JINX 0164 एक आर्थिक रूप से प्रेरित साइबर अपराधी समूह है, जिसे पहली बार मई 2026 में Wiz ने पहचाना। यह क्रिप्टोकरेंसी संगठनों को लिंक्डइन पर फर्जी नौकरी के ऑफर, कस्टम macOS मैलवेयर और सप्लाई चेन अटैक के जरिए डिजिटल संपत... इस अभियान में दो नए मैलवेयर परिवार शामिल हैं: Python आधारित AUDIOFIX इन्फोस्टीलर और Go आधारित MI...

Create a landscape editorial hero image for this Studio Global article: What is the newly disclosed threat actor JINX-0164, as identified by Wiz in May 2026, including its targeting of cryptocurrency organization. Article summary: Here is the full picture of JINX-0164 based on Wiz's May 2026 disclosure and corroborating security research.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "This article lists selected threat actors tracked by Palo Alto Networks Unit 42, using our specific designators for these groups. The information presented here is a list of threat" source context "Threat Actor Groups Tracked by Palo Alto Networks Unit 42 ..." Reference image 2: visual subject "# Threat Actors Merging Malicious Activity With Cryptocurrency Show How the Attack Landscape is Developing in Decentralized Finan
मई 2026 में, क्लाउड सिक्योरिटी फर्म Wiz ने JINX-0164 नामक एक नए, आर्थिक रूप से प्रेरित साइबर अपराधी समूह का खुलासा किया। यह समूह क्रिप्टोकरेंसी और वेब3 संगठनों को व्यवस्थित रूप से निशाना बना रहा है, और इसके लिए एक ऐसे बहु-स्तरीय हमले की श्रृंखला का उपयोग करता है जिसमें जटिल सोशल इंजीनियरिंग, कस्टम-निर्मित macOS मैलवेयर और एक परिष्कृत सॉफ्टवेयर सप्लाई चेन से समझौता शामिल है। इस अभियान का मुख्य उद्देश्य डिजिटल संपत्तियों की चोरी है, लेकिन इसके तरीके डेवलपर वातावरण और CI/CD पाइपलाइनों में कहीं अधिक गहरी पहुंच को सक्षम करते हैं ।
आइए विस्तार से समझते हैं कि यह हमला कैसे काम करता है, इसमें किन कस्टम उपकरणों का उपयोग होता है और यह क्रिप्टो सेक्टर के खिलाफ खतरों में एक खतरनाक बदलाव का संकेत क्यों देता है।
JINX-0164 किसी फ़ायरवॉल की कमज़ोरी या पासवर्ड स्प्रे के जरिए नेटवर्क में सेंध नहीं लगाता। इसके बजाय, इसके संचालक क्रिप्टोकरेंसी और वेब3 कंपनियों में काम करने वाले डेवलपर्स को निशाना बनाने के लिए लिंक्डइन पर भरोसेमंद दिखने वाली फर्जी रिक्रूटर प्रोफाइल बनाते हैं ।
यह सोशल इंजीनियरिंग बहुत ही अनुकूलित और विश्वसनीय होती है। पीड़ितों को आकर्षक नौकरी के ऑफर या साझेदारी के अवसरों के साथ संपर्क किया जाता है। एक बार बातचीत शुरू हो जाने पर, लक्ष्य को एक ऐसी फाइल डाउनलोड करने और चलाने का निर्देश दिया जाता है जो एक कोडिंग टेस्ट, कॉन्फ्रेंसिंग ऐप या मीटिंग टूल के रूप में छिपी होती है। इस फाइल को चलाने से संक्रमण शुरू हो जाता है ।
पीड़ित द्वारा शुरुआती चारे को निष्पादित करने के बाद, JINX-0164 कस्टम macOS पेलोड वितरित करता है। Wiz ने इस अभियान में उपयोग किए गए दो अलग-अलग घटकों की पहचान की।
AUDIOFIX एक Python-आधारित इन्फोस्टीलर (जानकारी चुराने वाला प्रोग्राम) है जिसे विशेष रूप से macOS के लिए बनाया गया है और इसे सोशल-इंजीनियरिंग वाले प्रलोभनों के माध्यम से वितरित किया जाता है । इसका मुख्य काम पीड़ित की मशीन से क्रिप्टोकरेंसी वॉलेट डेटा, निजी कुंजियों और अन्य डेवलपर सीक्रेट्स का पता लगाना और उन्हें बाहर भेजना है
।
MINIRAT एक पूर्ण-सुविधा युक्त Go-आधारित macOS RAT (रिमोट एक्सेस ट्रोजन) है जो लगातार बैकडोर एक्सेस प्रदान करता है। इसकी क्षमताओं में मनमाना शेल कमांड निष्पादित करना, फाइलों को बाहर भेजना और सेकेंडरी पेलोड डाउनलोड कर चलाना शामिल है ।
यह ट्रोजन कई छिपने की तकनीकों का उपयोग करता है:
com.apple.Terminal.profiler) के रूप में छिपा लेता है, जिससे यह हर बार उपयोगकर्ता के लॉग इन करने पर फिर से चालू हो जाता है MINIRAT के प्रसार का एक विशेष रूप से खतरनाक तरीका एक शुद्ध रजिस्ट्री-स्तरीय सप्लाई चेन अटैक था। 7 अप्रैल, 2026 को, साइबर अपराधियों ने @velora-dex/sdk के वैध पैकेज का एक दूषित संस्करण (v9.4.1) npm रजिस्ट्री पर प्रकाशित किया ।
यह हमला डिज़ाइन से ही छिपा हुआ था। इंस्टॉल स्क्रिप्ट या संदिग्ध पोस्ट-इंस्टॉल हुक जैसे तरीकों पर निर्भर रहने के बजाय, जो अक्सर सुरक्षा उपकरणों द्वारा पकड़े जाते हैं, हमलावरों ने सीधे dist/index.js में दूषित कोड की केवल तीन पंक्तियाँ डालीं। पेलोड उसी क्षण निष्पादित होता था जब कोई भी डेवलपर समझौता किए गए पैकेज को require() या import करता था ।
यह कोड एक रिमोट शेल स्क्रिप्ट लाता था, जो बदले में macOS सिस्टम पर LaunchAgent तकनीक का उपयोग करके MINIRAT बैकडोर को डाउनलोड और स्थापित करता था । यह पैकेज एक उपयोगी DeFi टूलकिट प्रतीत होता था, जिससे यह क्रिप्टो क्षेत्र के डेवलपर्स को लक्षित करने के लिए ट्रोजन हॉर्स की तरह बेहद प्रभावी बन गया।
JINX-0164 की महत्वाकांक्षा सिर्फ एक डेवलपर के एंडपॉइंट से आगे तक फैली हुई है। Wiz की रिपोर्ट के अनुसार, पीड़ित के लैपटॉप पर पकड़ बनाने के बाद, यह एक्टर CI/CD पाइपलाइनों और व्यापक डेवलपमेंट इंफ्रास्ट्रक्चर से समझौता करने के लिए आगे बढ़ा ।
यह हमले का चरण बेहद महत्वपूर्ण है क्योंकि यह एक समझौता किए गए लैपटॉप को पूरे सॉफ्टवेयर वितरण जीवनचक्र के लिए एक संभावित खतरे में बदल देता है। बिल्ड सिस्टम और कोड रिपॉजिटरी तक पहुंचने का मतलब है कि एक साइबर अपराधी विश्वसनीय आंतरिक एप्लिकेशन या आधिकारिक रिलीज़ में भी दुर्भावनापूर्ण बदलाव कर सकता है, जिससे घुसपैठ के प्रभाव को नाटकीय रूप से बढ़ाया जा सकता है ।
खतरा खुफिया समुदाय ने परिचित हथकंडों को नजरअंदाज नहीं किया है। JINX-0164 की परिचालन प्रोफ़ाइल उन अभियानों से काफी मिलती-जुलती है जो लंबे समय से उत्तर कोरियाई राज्य-प्रायोजित समूहों, विशेष रूप से लाजरस ग्रुप (जिसे AppleJeus, Contagious Interview, या DeceptiveDevelopment के रूप में भी ट्रैक किया जाता है) से जुड़े हुए हैं। सामान्य विशेषताओं में लिंक्डइन पर फर्जी नौकरी के प्रलोभन, क्रिप्टोकरेंसी डेवलपर्स को निशाना बनाना और macOS-विशिष्ट मैलवेयर पर निरंतर ध्यान केंद्रित करना शामिल है ।
ESET ने दस्तावेजीकरण किया है कि उत्तर कोरिया से जुड़े समूह विंडोज, लिनक्स और macOS पर फ्रीलांस डेवलपर्स के खिलाफ क्रिप्टोकरेंसी चोरी और सोशल इंजीनियरिंग के लिए लगभग एक जैसी ही रणनीति का उपयोग कर रहे हैं । इन मजबूत सामरिक समानताओं के बावजूद, Wiz की आधिकारिक रिपोर्ट उत्तर कोरिया के लाजरस ग्रुप के साथ एक निश्चित लिंक घोषित करने से बचती है, और औपचारिक एट्रिब्यूशन को खुला छोड़ देती है
।
यह अभियान राज्य-संरेखित कलाकारों के एक वैश्विक पैटर्न में साफ तौर पर फिट बैठता है जो IT कर्मियों और डेवलपर्स को प्राथमिक एक्सेस मार्ग के रूप में उपयोग कर रहे हैं। Mandiant और GitHub दोनों ने Jade Sleet जैसे समूहों और ऐसे ही फर्जी नौकरी कोडिंग चुनौतियों के माध्यम से COVERTCATCH मैलवेयर वितरित करने वाले क्लस्टरों पर निष्कर्ष प्रकाशित किए हैं ।
JINX-0164 उन हमले की प्रवृत्तियों के एक खतरनाक मिश्रण को दर्शाता है जो 2025 और 2026 की शुरुआत में तेजी से बढ़ रही हैं। यह लक्षित सोशल इंजीनियरिंग, एक अक्सर अनदेखा किए जाने वाले प्लेटफॉर्म (macOS) के लिए कस्टम मैलवेयर और एक रजिस्ट्री-ओनली npm सप्लाई चेन अटैक को जोड़ता है। यह एंडपॉइंट्स से आगे बढ़कर उन डेवलपमेंट टूल्स में घुसने की आक्रामक भूख को भी दर्शाता है जो कोड को बनाते, प्रकाशित और वितरित करते हैं।
क्रिप्टोकरेंसी और वेब3 संगठनों में सुरक्षा टीमों के लिए, सबक स्पष्ट है: लिंक्डइन के एक आकर्षक पिच के झांसे में आने वाला एक डेवलपर व्यक्तिगत वॉलेट से लेकर मुख्य बिल्ड इंफ्रास्ट्रक्चर तक, समझौतों की एक श्रृंखला शुरू कर सकता है। पता लगाने और प्रतिक्रिया देने की क्षमता के लिए न केवल एंडपॉइंट्स पर, बल्कि पैकेज रजिस्ट्रीज, इम्पोर्ट-टाइम बिहेवियर और डाउनस्ट्रीम में स्थित CI/CD सिस्टम पर भी पूरी निगरानी की आवश्यकता होती है।
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
JINX 0164 एक आर्थिक रूप से प्रेरित साइबर अपराधी समूह है, जिसे पहली बार मई 2026 में Wiz ने पहचाना। यह क्रिप्टोकरेंसी संगठनों को लिंक्डइन पर फर्जी नौकरी के ऑफर, कस्टम macOS मैलवेयर और सप्लाई चेन अटैक के जरिए डिजिटल संपत...
JINX 0164 एक आर्थिक रूप से प्रेरित साइबर अपराधी समूह है, जिसे पहली बार मई 2026 में Wiz ने पहचाना। यह क्रिप्टोकरेंसी संगठनों को लिंक्डइन पर फर्जी नौकरी के ऑफर, कस्टम macOS मैलवेयर और सप्लाई चेन अटैक के जरिए डिजिटल संपत... इस अभियान में दो नए मैलवेयर परिवार शामिल हैं: Python आधारित AUDIOFIX इन्फोस्टीलर और Go आधारित MINIRAT बैकडोर। बाद वाले को एक दूषित npm पैकेज @velora dex/sdk के माध्यम से वितरित किया जाता है, जो इंस्टॉल स्क्रिप्ट के बि...
JINX 0164 की कार्यप्रणाली उत्तर कोरिया के लाजरस ग्रुप से काफी मिलती जुलती है, हालांकि Wiz ने अभी तक कोई निश्चित आधिकारिक एट्रिब्यूशन जारी नहीं किया है।