Membedah JINX-0164: Perekrut Gadungan, Malware macOS Kustom, dan Serangan Rantai Pasok npm yang Mengincar Developer Kripto

Gudang Senjata Malware macOS: Dua Ancaman dalam Satu Paket

Setelah korban menjalankan umpan awal, JINX-0164 mengirimkan muatan (payload) macOS buatan sendiri. Wiz mengidentifikasi dua komponen berbeda yang digunakan dalam kampanye ini.

AUDIOFIX: Pencuri Informasi Berbasis Python

AUDIOFIX adalah pencuri informasi (infostealer) berbasis Python yang dibuat khusus untuk sistem operasi macOS. Malware ini dikirimkan melalui umpan rekayasa sosial . Tugas utamanya adalah mencari dan mencuri data dompet kripto, kunci privat (private key), serta kredensial penting milik pengembang lainnya dari komputer korban .

MINIRAT: Trojan Akses Jarak Jauh Berbasis Go

MINIRAT adalah trojan akses jarak jauh (Remote Access Trojan/RAT) berbasis bahasa pemrograman Go dengan fitur lengkap yang menyediakan akses pintu belakang persisten. Kemampuannya meliputi eksekusi perintah shell secara bebas, pencurian berkas, serta kemampuan mengunduh dan menjalankan muatan berbahaya tahap lanjutan .

Trojan ini menggunakan beberapa teknik siluman, antara lain:

• Anti-Mesin Virtual (Anti-VM): Malware ini memiliki pengecekan untuk mendeteksi apakah ia berjalan di dalam mesin virtual. Hal ini dilakukan untuk menghindari analisis otomatis oleh peneliti keamanan .
• Enkripsi Lalu Lintas C2: Komunikasi dengan server komando (C2) dilakukan melalui HTTPS dengan konfigurasi yang dienkripsi menggunakan AES .
• Persistensi Siluman: MINIRAT memasang LaunchAgent (mekanisme penjadwalan di macOS) yang menyamar sebagai komponen sistem Apple (com.apple.Terminal.profiler), sehingga malware ini akan aktif kembali setiap kali pengguna masuk ke sistem .

Serangan Rantai Pasok: Bagaimana MINIRAT Menyebar via npm

Vektor penyebaran MINIRAT yang sangat berbahaya adalah serangan rantai pasok murni di registri npm. Pada 7 April 2026, aktor ancaman merilis versi berbahaya (v9.4.1) dari paket npm yang sah, yaitu @velora-dex/sdk .

Serangannya dirancang senyap mungkin. Alih-alih mengandalkan skrip instalasi (

post-install hooks

Kode itu akan mengambil skrip shell dari server jarak jauh, yang kemudian mengunduh dan menanamkan pintu belakang MINIRAT di sistem macOS menggunakan teknik LaunchAgent . Karena paket ini terlihat seperti perangkat DeFi yang berguna, ia menjadi kuda troya yang sangat efektif untuk membidik developer kripto.

Lebih dari Sekadar Laptop: Membajak Infrastruktur CI/CD

Ambisi JINX-0164 tidak berhenti di laptop developer individu. Wiz melaporkan bahwa setelah berhasil menguasai satu laptop korban, aktor ini bergerak secara lateral untuk mengkompromikan jalur pipa CI/CD dan infrastruktur pengembangan yang lebih luas .

Fase serangan ini sangat krusial karena mengubah satu laptop yang terinfeksi menjadi potensi risiko bagi seluruh siklus pengiriman perangkat lunak. Dengan mengakses sistem build dan repositori kode, aktor jahat dapat menyuntikkan perubahan berbahaya ke dalam aplikasi internal yang tepercaya atau bahkan rilis resmi, sehingga melipatgandakan dampak penyusupan secara dramatis .

Koneksi ke Korea Utara

Komunitas intelijen ancaman siber tidak mengabaikan kemiripan taktik yang ditunjukkan. Profil operasional JINX-0164 sangat mirip dengan kampanye yang selama ini dikaitkan dengan kelompok yang disponsori negara Korea Utara, khususnya Lazarus Group (yang juga dilacak dengan nama AppleJeus, Contagious Interview, atau DeceptiveDevelopment). Kesamaannya meliputi umpan lowongan kerja palsu di LinkedIn, penyasaran terhadap pengembang kripto, dan fokus berkelanjutan pada malware khusus macOS .

ESET telah mendokumentasikan kelompok yang terkait Korea Utara menggunakan playbook yang hampir identik untuk pencurian kripto dan rekayasa sosial terhadap pengembang lepas di platform Windows, Linux, dan macOS . Meskipun ada tumpang tindih taktis yang kuat, laporan resmi Wiz tidak menyatakan secara definitif bahwa kelompok ini terkait dengan Lazarus Group, sehingga atribusi formalnya masih terbuka .

Kampanye ini sangat sesuai dengan pola global aktor yang terkait negara, yang menggunakan pekerja IT dan pengembang sebagai vektor akses utama. Mandiant dan GitHub sebelumnya telah mempublikasikan temuan tentang kelompok seperti Jade Sleet dan klaster yang mengirimkan malware COVERTCATCH melalui modus serupa, yaitu tantangan koding pekerjaan palsu .

Mengapa Kampanye Ini Menjadi Peringatan untuk 2026

JINX-0164 mencerminkan perpaduan berbahaya dari tren serangan yang semakin cepat sepanjang 2025 dan awal 2026. Kampanye ini memadukan rekayasa sosial yang ditargetkan, malware khusus untuk platform yang sering terabaikan (macOS), dan serangan rantai pasok murni di registri npm. Kelompok ini juga menunjukkan agresivitas dalam berpindah dari endpoint perangkat individu ke perangkat pengembangan yang membuat, membangun, dan mendistribusikan kode.

Bagi tim keamanan di organisasi kripto dan Web3, pelajarannya jelas: satu orang pengembang yang terjebak oleh profil LinkedIn yang dipoles rapi bisa menyebabkan serangkaian kompromi, mulai dari dompet pribadi hingga infrastruktur build inti. Kemampuan mendeteksi dan merespons tidak hanya membutuhkan visibilitas di endpoint, tetapi juga di dalam registri paket, perilaku impor kode, serta sistem CI/CD yang berada di hilir.