Por Dentro do Ataque do JINX-0164: Recrutadores Falsos, Malware Customizado para Mac e o Sequestro da Cadeia de Suprimentos

Um Arsenal de Malware com Dupla Carga para macOS

Após a vítima executar a isca inicial, o JINX-0164 entrega payloads customizados para macOS. A Wiz identificou dois componentes distintos usados na campanha.

AUDIOFIX: Infostealer em Python

O AUDIOFIX é um infostealer em Python construído especificamente para macOS e distribuído por meio das iscas de engenharia social . Sua principal função é localizar e exfiltrar dados de carteiras de criptomoedas, chaves privadas e outros segredos de desenvolvimento da máquina da vítima .

MINIRAT: Trojan de Acesso Remoto em Go

O MINIRAT é um trojan de acesso remoto (RAT) completo, baseado em Go, que fornece um acesso backdoor persistente ao sistema. Suas capacidades incluem a execução de comandos shell arbitrários, a exfiltração de arquivos e a capacidade de baixar e executar payloads secundários .

O trojan usa várias técnicas para se manter oculto:

• Evasão Anti-VM: Ele inclui verificações para detectar se está sendo executado dentro de uma máquina virtual, provavelmente para frustrar ambientes de análise automatizada de malware, conhecidos como sandboxes .
• Tráfego C2 Criptografado: A comunicação com o servidor de comando e controle é feita por HTTPS com uma configuração criptografada em AES .
• Persistência Silenciosa: O MINIRAT instala um LaunchAgent disfarçado de componente do sistema da Apple (com.apple.Terminal.profiler), garantindo que ele seja reativado toda vez que o usuário fizer login .

O Ataque à Cadeia de Suprimentos: Como o MINIRAT se Espalha pelo npm

Um vetor particularmente perigoso do MINIRAT foi um ataque à cadeia de suprimentos puramente ao nível do registro. Em 7 de abril de 2026, os atores da ameaça publicaram uma versão maliciosa (v9.4.1) do legítimo pacote @velora-dex/sdk no registro do npm .

O ataque foi projetado para ser furtivo. Em vez de depender de scripts de instalação (como os comandos postinstall frequentemente detectados por ferramentas de segurança), os invasores injetaram apenas três linhas de código malicioso diretamente no arquivo dist/index.js. O payload era executado no exato momento em que qualquer desenvolvedor fizesse um require() ou import do pacote comprometido .

Esse código buscava um script de shell remoto, que por sua vez baixava e instalava o backdoor MINIRAT no sistema macOS usando a técnica do LaunchAgent . O pacote parecia ser um útil kit de ferramentas DeFi (finanças descentralizadas), tornando-o um cavalo de Troia altamente eficaz para atingir desenvolvedores no espaço cripto.

Além do Laptop: O Sequestro da Infraestrutura de CI/CD

A ambição do JINX-0164 vai além do endpoint de um único desenvolvedor. A Wiz relata que, após ganhar uma posição no laptop da vítima, o ator se movia lateralmente para comprometer os pipelines de CI/CD e a infraestrutura de desenvolvimento mais ampla .

Esta etapa do ataque é crítica porque transforma um único laptop comprometido em um risco potencial para todo o ciclo de vida de entrega de software. Ao acessar sistemas de build e repositórios de código, um ator de ameaça poderia injetar alterações maliciosas em aplicações internas confiáveis ou até mesmo em versões oficiais, escalando dramaticamente o impacto da intrusão .

A Conexão com a Coreia do Norte

A comunidade de inteligência de ameaças não ignorou as técnicas familiares em exibição. O perfil operacional do JINX-0164 espelha de perto campanhas há muito atribuídas a grupos patrocinados pelo Estado norte-coreano, particularmente o Grupo Lazarus (também rastreado como AppleJeus, Contagious Interview ou DeceptiveDevelopment). Os pontos em comum incluem iscas de emprego falsas no LinkedIn, foco em desenvolvedores de criptomoedas e uma atenção contínua a malware específico para macOS .

A ESET documentou grupos alinhados com a Coreia do Norte usando cartilhas quase idênticas para roubo de criptomoedas e engenharia social contra desenvolvedores freelancers no Windows, Linux e macOS . Apesar dessas fortes sobreposições táticas, o relatório oficial da Wiz se abstém de declarar uma ligação definitiva com o Grupo Lazarus da Coreia do Norte, deixando a atribuição formal em aberto .

A campanha se encaixa perfeitamente em um padrão global de atores estatais usando profissionais de TI e desenvolvedores como um vetor de acesso primário. A Mandiant e o GitHub publicaram descobertas sobre grupos como Jade Sleet e clusters que distribuem o malware COVERTCATCH por meio de desafios de codificação semelhantes para falsas entrevistas de emprego .

Por que Esta Campanha é um Alerta para 2026

O JINX-0164 reflete uma perigosa fusão de tendências de ataque que vêm se acelerando ao longo de 2025 e início de 2026. Ele combina engenharia social direcionada, malware customizado para uma plataforma muitas vezes negligenciada (macOS) e um ataque à cadeia de suprimentos do npm que atua apenas no registro. Também demonstra um apetite agressivo por se mover dos endpoints para as ferramentas de desenvolvimento que criam, constroem e distribuem código.

Para as equipes de segurança em organizações de criptomoedas e Web3, a lição é clara: um único desenvolvedor que caia em uma abordagem polida pelo LinkedIn pode levar a uma cascata de comprometimentos, desde carteiras pessoais até a infraestrutura central de build. A capacidade de detectar e responder exige visibilidade não apenas nos endpoints, mas dentro dos registros de pacotes, do comportamento de importação de código e dos sistemas de CI/CD que estão logo a jusante.