暗号資産開発者を狙う新たな脅威「JINX-0164」：偽の採用担当者、macOSマルウェア、npmサプライチェーン攻撃の全貌

AUDIOFIX: Python製の情報窃取ツール

AUDIOFIXは、macOS専用に開発されたPythonベースの情報窃取型マルウェアで、前述のソーシャルエンジニアリング経由で配信されます。 その主な役割は、被害者のマシンから暗号通貨ウォレットのデータ、秘密鍵、その他開発者に紐づく重要な認証情報を探し出し、攻撃者に送信することです。

MINIRAT: Go言語製のリモートアクセス型トロイの木馬（RAT）

MINIRATは、Go言語で書かれた多機能なmacOS向けRATで、持続的なバックドアアクセスを提供します。任意のシェルコマンドの実行、ファイルの窃取、二次ペイロードのダウンロードと起動といった機能を備えています。

このトロイの木馬は、以下のようないくつかのステルス技術を用います。

• 仮想マシン回避：マルウェア解析用のサンドボックス環境を検知しないよう、自身が仮想マシン内で動作しているかをチェックする機能があります。
• 暗号化されたC2通信：攻撃者の指令サーバー（C2）との通信はHTTPS経由で行われ、その設定はAESで暗号化されています。
• 巧妙な永続化：MINIRATは自身をAppleのシステムコンポーネント（com.apple.Terminal.profiler）に偽装したLaunchAgentとして登録します。これにより、ユーザーがログインするたびにマルウェアが自動的に再起動します。

サプライチェーン攻撃：npmパッケージ経由で拡散するMINIRAT

MINIRATの特に危険な感染経路は、正規のnpmパッケージをレジストリ上で直接改ざんするという、巧妙なサプライチェーン攻撃です。2026年4月7日、攻撃者は正規の取引所ツールキット@velora-dex/sdkの悪意あるバージョン（v9.4.1）を、パッケージレジストリ「npm」に公開しました。

この攻撃は、極めて隠密性が高く設計されています。近年のセキュリティ対策ツールが検知しやすいインストールスクリプトや不審なインストール後フック（post-install）などの手法を避け、攻撃者はわずか3行の悪意あるコードをdist/index.jsに直接挿入しました。このため、開発者が何らかのプロジェクトでこの改ざんされたパッケージをrequire()またはimportした瞬間に、ペイロードが即座に実行されました。

このコードは遠隔地からシェルスクリプトを取得し、それを介してmacOSシステムにMINIRATのバックドアをダウンロード、前述のLaunchAgentの手法で永続化させます。 このパッケージは、暗号資産開発者にとって便利なDeFiツールキットに見せかけられており、極めて効果的なトロイの木馬として機能したのです。

開発者のPCを越えて：CI/CDインフラのハイジャック

JINX-0164の野望は、単一の開発者端末の制圧にとどまりません。Wizの報告によると、攻撃者は被害者のノートPCに足場を築いた後、CI/CDパイプラインやより広範な開発インフラへと横方向に移動し、侵害を拡大したとされています。

この段階は、1台のノートPCの侵害が、ソフトウェアの提供ライフサイクル全体を危険にさらす可能性を示すため、極めて重要です。ビルドシステムやコードリポジトリにアクセスすることで、攻撃者は信頼された社内アプリや公式リリースに悪意ある変更を注入することが可能になり、被害規模は飛躍的に拡大します。

見え隠れする北朝鮮の影

脅威インテリジェンスの専門家コミュニティは、この攻撃に見覚えのある手口を黙視していません。JINX-0164の活動プロファイルは、特に北朝鮮の国家支援を受けるとされるラザルスグループ（別名：AppleJeus、Contagious Interview、DeceptiveDevelopment）による長期キャンペーンと多くの類似点が指摘されています。共通する特徴は、LinkedInを使った偽の求人勧誘、暗号資産開発者への標的型攻撃、そしてmacOS向けマルウェアへの持続的な注力です。

セキュリティ企業ESETも、北朝鮮と関連するグループが、Windows、Linux、macOSをプラットフォームとするフリーランス開発者に対し、暗号資産窃取とソーシャルエンジニアリングでほぼ同一の攻撃手順を用いていることを報告しています。 しかし、こうした戦術面での強い重なりがあるにもかかわらず、Wizの公式報告書は「北朝鮮のラザルスグループとの確定的な関連性」の断定を避けており、正式な攻撃者特定（アトリビューション）は留保されています。

このキャンペーンは、国家と結びついたアクターがITワーカーや開発者を主要な侵入経路として利用する、世界的な傾向の一例です。Google傘下のMandiantやGitHubも、「Jade Sleet」や「COVERTCATCH」マルウェアを、偽の求人コーディング課題を通じて拡散させる類似した集団について調査結果を公表しています。

このキャンペーンが2026年への警鐘である理由

JINX-0164は、2025年から2026年初頭にかけて加速している攻撃トレンドの危険な融合を体現しています。標的型ソーシャルエンジニアリング、しばしば見過ごされがちなプラットフォーム（macOS）向けのカスタムマルウェア、レジストリレベルでのnpmサプライチェーン攻撃が組み合わされています。さらに、エンドポイントでの侵害から、コードを作成・構築・配布する開発ツール群へと積極的に侵入範囲を拡大しようとする、強い意欲も見せています。

暗号資産やWeb3組織のセキュリティチームにとって、この教訓は明白です。一人の開発者が磨き上げられたLinkedInメッセージに騙されれば、個人のウォレットから中核的なビルドインフラに至るまで、連鎖的に侵害が拡大する可能性があるということです。この脅威を検知・対応するには、エンドポイントだけでなく、パッケージレジストリ、インポート時のコード実行、その下流に位置するCI/CDシステムなど、開発サプライチェーン全体を可視化する必要があります。