2026年5月、クラウドセキュリティ企業Wizは、新たな金銭目的の脅威アクター「JINX-0164」を特定したと発表しました。このグループは暗号資産やWeb3分野の組織を組織的に標的とし、入念なソーシャルエンジニアリング、独自開発のmacOSマルウェア、そして巧妙なソフトウェアサプライチェーン攻撃を組み合わせた多段階の攻撃を仕掛けています。最終的な目的はデジタル資産の窃取ですが、その手法は開発者環境やCI/CDパイプラインといった、より深部のシステムへアクセスすることを可能にします。
ここでは、実際にどのように攻撃が行われるのか、使用される独自のツール、そしてこの攻撃が暗号資産セクターに対する脅威の危険な転換点となる理由を詳しく解説します。
JINX-0164は、ファイアウォールの脆弱性を突いたり、パスワードリスト攻撃を仕掛けたりするような従来の手口でネットワークに侵入しません。代わりに攻撃者は、暗号資産やWeb3企業で働く開発者をターゲットに、LinkedIn上で実在感のある偽の採用担当者アカウントを作成します。
ソーシャルエンジニアリングは標的ごとにカスタマイズされており、非常に巧妙です。被害者は魅力的な求人やパートナーシップ案件で近づかれ、会話が進むと「コーディングテスト」「会議用ツール」「打ち合わせアプリ」などを装ったファイルをダウンロードし、実行するよう指示されます。このファイルを実行した瞬間に、端末への感染が始まります。
被害者が最初の囮ファイルを実行すると、JINX-0164はカスタムメイドのmacOS向けペイロードを送り込みます。Wizは本キャンペーンで使用された2つの異なるコンポーネントを特定しました。
AUDIOFIXは、macOS専用に開発されたPythonベースの情報窃取型マルウェアで、前述のソーシャルエンジニアリング経由で配信されます。 その主な役割は、被害者のマシンから暗号通貨ウォレットのデータ、秘密鍵、その他開発者に紐づく重要な認証情報を探し出し、攻撃者に送信することです。
MINIRATは、Go言語で書かれた多機能なmacOS向けRATで、持続的なバックドアアクセスを提供します。任意のシェルコマンドの実行、ファイルの窃取、二次ペイロードのダウンロードと起動といった機能を備えています。
このトロイの木馬は、以下のようないくつかのステルス技術を用います。
com.apple.Terminal.profiler)に偽装したLaunchAgentとして登録します。これにより、ユーザーがログインするたびにマルウェアが自動的に再起動します。MINIRATの特に危険な感染経路は、正規のnpmパッケージをレジストリ上で直接改ざんするという、巧妙なサプライチェーン攻撃です。2026年4月7日、攻撃者は正規の取引所ツールキット@velora-dex/sdkの悪意あるバージョン(v9.4.1)を、パッケージレジストリ「npm」に公開しました。
この攻撃は、極めて隠密性が高く設計されています。近年のセキュリティ対策ツールが検知しやすいインストールスクリプトや不審なインストール後フック(post-install)などの手法を避け、攻撃者はわずか3行の悪意あるコードをdist/index.jsに直接挿入しました。このため、開発者が何らかのプロジェクトでこの改ざんされたパッケージをrequire()またはimportした瞬間に、ペイロードが即座に実行されました。
このコードは遠隔地からシェルスクリプトを取得し、それを介してmacOSシステムにMINIRATのバックドアをダウンロード、前述のLaunchAgentの手法で永続化させます。 このパッケージは、暗号資産開発者にとって便利なDeFiツールキットに見せかけられており、極めて効果的なトロイの木馬として機能したのです。
JINX-0164の野望は、単一の開発者端末の制圧にとどまりません。Wizの報告によると、攻撃者は被害者のノートPCに足場を築いた後、CI/CDパイプラインやより広範な開発インフラへと横方向に移動し、侵害を拡大したとされています。
この段階は、1台のノートPCの侵害が、ソフトウェアの提供ライフサイクル全体を危険にさらす可能性を示すため、極めて重要です。ビルドシステムやコードリポジトリにアクセスすることで、攻撃者は信頼された社内アプリや公式リリースに悪意ある変更を注入することが可能になり、被害規模は飛躍的に拡大します。
脅威インテリジェンスの専門家コミュニティは、この攻撃に見覚えのある手口を黙視していません。JINX-0164の活動プロファイルは、特に北朝鮮の国家支援を受けるとされるラザルスグループ(別名:AppleJeus、Contagious Interview、DeceptiveDevelopment)による長期キャンペーンと多くの類似点が指摘されています。共通する特徴は、LinkedInを使った偽の求人勧誘、暗号資産開発者への標的型攻撃、そしてmacOS向けマルウェアへの持続的な注力です。
セキュリティ企業ESETも、北朝鮮と関連するグループが、Windows、Linux、macOSをプラットフォームとするフリーランス開発者に対し、暗号資産窃取とソーシャルエンジニアリングでほぼ同一の攻撃手順を用いていることを報告しています。 しかし、こうした戦術面での強い重なりがあるにもかかわらず、Wizの公式報告書は「北朝鮮のラザルスグループとの確定的な関連性」の断定を避けており、正式な攻撃者特定(アトリビューション)は留保されています。
このキャンペーンは、国家と結びついたアクターがITワーカーや開発者を主要な侵入経路として利用する、世界的な傾向の一例です。Google傘下のMandiantやGitHubも、「Jade Sleet」や「COVERTCATCH」マルウェアを、偽の求人コーディング課題を通じて拡散させる類似した集団について調査結果を公表しています。
JINX-0164は、2025年から2026年初頭にかけて加速している攻撃トレンドの危険な融合を体現しています。標的型ソーシャルエンジニアリング、しばしば見過ごされがちなプラットフォーム(macOS)向けのカスタムマルウェア、レジストリレベルでのnpmサプライチェーン攻撃が組み合わされています。さらに、エンドポイントでの侵害から、コードを作成・構築・配布する開発ツール群へと積極的に侵入範囲を拡大しようとする、強い意欲も見せています。
暗号資産やWeb3組織のセキュリティチームにとって、この教訓は明白です。一人の開発者が磨き上げられたLinkedInメッセージに騙されれば、個人のウォレットから中核的なビルドインフラに至るまで、連鎖的に侵害が拡大する可能性があるということです。この脅威を検知・対応するには、エンドポイントだけでなく、パッケージレジストリ、インポート時のコード実行、その下流に位置するCI/CDシステムなど、開発サプライチェーン全体を可視化する必要があります。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
JINX 0164は2026年5月、クラウドセキュリティ企業Wizによって初めて特定された、金銭目的の脅威アクターです。偽の採用担当者を装ったLinkedIn経由のスカウト、独自開発のmacOSマルウェア、npmパッケージを悪用したサプライチェーン攻撃を組み合わせ、暗号資産の窃取を試みます。
JINX 0164は2026年5月、クラウドセキュリティ企業Wizによって初めて特定された、金銭目的の脅威アクターです。偽の採用担当者を装ったLinkedIn経由のスカウト、独自開発のmacOSマルウェア、npmパッケージを悪用したサプライチェーン攻撃を組み合わせ、暗号資産の窃取を試みます。 このキャンペーンでは、Python製の情報窃取型マルウェア「AUDIOFIX」とGo言語製のバックドア型RAT「MINIRAT」という、2種類の新たなマルウェアが確認されています。特にMINIRATは、改ざんされたnpmパッケージ「@velora dex/sdk」を経由して配信され、パッケージが読み込まれた瞬間に起動します。
JINX 0164の手口は、北朝鮮の支援を受けることで知られる「ラザルスグループ」との類似点が数多く指摘されていますが、Wizは現時点では決定的な関連性については発表していません。