JINX 0164 — это финансово мотивированная группировка, впервые обнаруженная Wiz в мае 2026 года. Главная опасность — проникновение не только на отдельные ноутбуки, но и в CI/CD пайплайны.

Create a landscape editorial hero image for this Studio Global article: What is the newly disclosed threat actor JINX-0164, as identified by Wiz in May 2026, including its targeting of cryptocurrency organization. Article summary: Here is the full picture of JINX-0164 based on Wiz's May 2026 disclosure and corroborating security research.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "This article lists selected threat actors tracked by Palo Alto Networks Unit 42, using our specific designators for these groups. The information presented here is a list of threat" source context "Threat Actor Groups Tracked by Palo Alto Networks Unit 42 ..." Reference image 2: visual subject "# Threat Actors Merging Malicious Activity With Cryptocurrency Show How the Attack Landscape is Developing in Decentralized Finan
В мае 2026 года облачная ИБ-компания Wiz раскрыла новую финансово мотивированную кибергруппировку под названием JINX-0164. Злоумышленники систематически атакуют криптовалютные и Web3-организации, используя изощрённую многоступенчатую схему: детально проработанную социальную инженерию, кастомное вредоносное ПО для macOS и компрометацию цепочек поставок (supply chain). Конечная цель — кража цифровых активов, но методы позволяют проникнуть гораздо глубже — в среды разработки и CI/CD-конвейеры .
Разбираем по шагам, как устроена атака, какое ПО в ней используется и почему это тревожный сигнал для всей криптоиндустрии.
JINX-0164 не взламывает сети через уязвимости брандмауэра или перебор паролей. Вместо этого её операторы создают в LinkedIn убедительные профили фейковых рекрутеров, нацеленные на разработчиков из криптокомпаний .
Социальная инженерия таргетированная и правдоподобная. Жертвам предлагают привлекательные вакансии или партнёрство. Как только диалог налажен, цель получает файл — якобы тестовое задание для программиста, приложение для конференц-связи или инструмент для созвонов. Запуск этого файла инициирует заражение .
После того как жертва запускает приманку, JINX-0164 доставляет на компьютер кастомную «нагрузку» для macOS. Wiz выделяет две основные вредоносные программы.
AUDIOFIX — это инфостилер, написанный на Python специально для macOS и распространяемый через «липовые» рекрутинговые предложения . Его главная задача — находить и похищать данные криптокошельков, приватные ключи и другие чувствительные секреты разработчика
.
MINIRAT — это полнофункциональный RAT (Remote Access Trojan) для macOS, написанный на Go. Он обеспечивает скрытый постоянный доступ (бэкдор) к машине. Возможности включают выполнение произвольных консольных команд, кражу файлов, а также загрузку и запуск дополнительных вредоносных модулей .
Троян использует несколько приёмов для скрытности:
com.apple.Terminal.profiler). Это гарантирует перезапуск бэкдора при каждой авторизации пользователя Особенно опасным вектором для MINIRAT стала чисто реестровая атака на supply chain. 7 апреля 2026 года злоумышленники опубликовали в реестре npm вредоносную версию (v9.4.1) легитимного пакета @velora-dex/sdk .
Атака получилась очень скрытной. Вместо использования установочных скриптов или подозрительных post-install-хуков (которые часто отслеживаются защитными инструментами), преступники добавили всего три строчки вредоносного кода прямо в dist/index.js. Полезная нагрузка срабатывала в тот самый миг, когда любой разработчик выполнял require() или import скомпрометированного пакета .
Код загружал удалённый shell-скрипт, а тот, в свою очередь, скачивал и закреплял бэкдор MINIRAT в системе macOS через тех самых маскирующихся LaunchAgent'ов . Пакет на первый взгляд выглядел как полезный инструментарий для DeFi (децентрализованных финансов), что сделало его крайне эффективным «троянским конём» для криптоспециалистов.
Амбиции JINX-0164 простираются гораздо дальше одного скомпрометированного ноутбука. Wiz сообщает: закрепившись на машине жертвы, атакующие перемещались по сети, чтобы проникнуть в CI/CD-конвейеры и смежную инфраструктуру разработки .
Этот этап атаки критически опасен, потому что превращает один заражённый компьютер в потенциальную угрозу для всего жизненного цикла разработки ПО. Получив доступ к системам сборки и репозиториям кода, группировка способна внедрить вредоносные изменения в доверенные внутренние приложения или официальные релизы, многократно масштабируя ущерб от вторжения .
Специалисты по киберразведке быстро заметили знакомый почерк. Операционный профиль JINX-0164 сильно напоминает кампании, которые давно приписываются группам, спонсируемым северокорейским государством. В первую очередь речь идёт о Lazarus Group (также известны как AppleJeus, Contagious Interview или DeceptiveDevelopment). Общая ДНК включает фейковые приглашения на собеседования в LinkedIn, атаки на крипторазработчиков и устойчивый интерес к разработке вредоносного ПО именно под macOS .
ESET ранее документировала, как группы, аффилированные с КНДР, использовали практически ту же методичку для кражи криптовалюты и социальной инженерии против фриланс-разработчиков на Windows, Linux и macOS . Но, несмотря на сильные тактические пересечения, официальный отчёт Wiz не делает прямого заявления о связи с северокорейским Lazarus, оставляя формальную атрибуцию открытой
.
В целом, эта кампания прекрасно вписывается в глобальный паттерн. Связанные с государствами хакеры всё чаще используют айтишников и разработчиков как главный вектор для проникновения. Mandiant и Github, к примеру, уже публиковали данные о группах вроде Jade Sleet и кластерах, распространявших вредонос COVERTCATCH через похожие фейковые задания для кодинга .
JINX-0164 отражает опасное слияние трендов, которые активно набирали обороты в 2025-м и начале 2026 года. Она объединяет таргетированную социальную инженерию, кастомные вирусы для часто недооценённой в плане угроз платформы macOS и реестровую атаку на supply chain в npm. Кроме того, группировка демонстрирует настойчивое желание прорваться с конечных устройств в инструменты разработки — туда, где код создаётся, собирается и распространяется.
Для ИБ-отделов в крипто- и Web3-компаниях урок суров: всего один разработчик, клюнувший на красиво оформленное предложение в LinkedIn, может спровоцировать целый каскад взломов — от личных криптокошельков до ключевых сборочных конвейеров. Эффективное детектирование и реагирование на такие угрозы требует мониторинга не только конечных точек, но и реестров пакетов, поведения в момент импорта и CI/CD-систем, находящихся ниже по цепочке.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
JINX 0164 — это финансово мотивированная группировка, впервые обнаруженная Wiz в мае 2026 года.
JINX 0164 — это финансово мотивированная группировка, впервые обнаруженная Wiz в мае 2026 года. Главная опасность — проникновение не только на отдельные ноутбуки, но и в CI/CD пайплайны.
Несмотря на очевидное сходство тактик с северокорейской группировкой Lazarus, специалисты Wiz пока не делают официальных заявлений о прямой связи, оставляя атрибуцию открытой [1][8].