JINX-0164: Новая угроза с фейковыми рекрутерами и вирусами для macOS атакует крипторазработчиков

Двойной арсенал вредоносного ПО для macOS

После того как жертва запускает приманку, JINX-0164 доставляет на компьютер кастомную «нагрузку» для macOS. Wiz выделяет две основные вредоносные программы.

AUDIOFIX: похититель данных на Python

AUDIOFIX — это инфостилер, написанный на Python специально для macOS и распространяемый через «липовые» рекрутинговые предложения . Его главная задача — находить и похищать данные криптокошельков, приватные ключи и другие чувствительные секреты разработчика .

MINIRAT: троян удалённого доступа на Go

MINIRAT — это полнофункциональный RAT (Remote Access Trojan) для macOS, написанный на Go. Он обеспечивает скрытый постоянный доступ (бэкдор) к машине. Возможности включают выполнение произвольных консольных команд, кражу файлов, а также загрузку и запуск дополнительных вредоносных модулей .

Троян использует несколько приёмов для скрытности:

• Обход виртуальных машин: В коде есть проверки, не запущена ли программа внутри виртуальной среды, что помогает уйти от автоматических «песочниц» для анализа вредоносов .
• Шифрование C2-трафика: Общение с командным центром идёт по HTTPS с использованием AES-шифрованной конфигурации .
• Маскировка автозагрузки: MINIRAT устанавливает агент (LaunchAgent), замаскированный под системный компонент Apple (com.apple.Terminal.profiler). Это гарантирует перезапуск бэкдора при каждой авторизации пользователя .

Атака на цепочку поставок: как MINIRAT попадает в системы через npm

Особенно опасным вектором для MINIRAT стала чисто реестровая атака на supply chain. 7 апреля 2026 года злоумышленники опубликовали в реестре npm вредоносную версию (v9.4.1) легитимного пакета @velora-dex/sdk .

Атака получилась очень скрытной. Вместо использования установочных скриптов или подозрительных post-install-хуков (которые часто отслеживаются защитными инструментами), преступники добавили всего три строчки вредоносного кода прямо в dist/index.js. Полезная нагрузка срабатывала в тот самый миг, когда любой разработчик выполнял require() или import скомпрометированного пакета .

Код загружал удалённый shell-скрипт, а тот, в свою очередь, скачивал и закреплял бэкдор MINIRAT в системе macOS через тех самых маскирующихся LaunchAgent'ов . Пакет на первый взгляд выглядел как полезный инструментарий для DeFi (децентрализованных финансов), что сделало его крайне эффективным «троянским конём» для криптоспециалистов.

Дальше ноутбука: захват CI/CD-инфраструктуры

Амбиции JINX-0164 простираются гораздо дальше одного скомпрометированного ноутбука. Wiz сообщает: закрепившись на машине жертвы, атакующие перемещались по сети, чтобы проникнуть в CI/CD-конвейеры и смежную инфраструктуру разработки .

Этот этап атаки критически опасен, потому что превращает один заражённый компьютер в потенциальную угрозу для всего жизненного цикла разработки ПО. Получив доступ к системам сборки и репозиториям кода, группировка способна внедрить вредоносные изменения в доверенные внутренние приложения или официальные релизы, многократно масштабируя ущерб от вторжения .

Северокорейский след

Специалисты по киберразведке быстро заметили знакомый почерк. Операционный профиль JINX-0164 сильно напоминает кампании, которые давно приписываются группам, спонсируемым северокорейским государством. В первую очередь речь идёт о Lazarus Group (также известны как AppleJeus, Contagious Interview или DeceptiveDevelopment). Общая ДНК включает фейковые приглашения на собеседования в LinkedIn, атаки на крипторазработчиков и устойчивый интерес к разработке вредоносного ПО именно под macOS .

ESET ранее документировала, как группы, аффилированные с КНДР, использовали практически ту же методичку для кражи криптовалюты и социальной инженерии против фриланс-разработчиков на Windows, Linux и macOS . Но, несмотря на сильные тактические пересечения, официальный отчёт Wiz не делает прямого заявления о связи с северокорейским Lazarus, оставляя формальную атрибуцию открытой .

В целом, эта кампания прекрасно вписывается в глобальный паттерн. Связанные с государствами хакеры всё чаще используют айтишников и разработчиков как главный вектор для проникновения. Mandiant и Github, к примеру, уже публиковали данные о группах вроде Jade Sleet и кластерах, распространявших вредонос COVERTCATCH через похожие фейковые задания для кодинга .

Почему эта кампания — тревожный «звонок» для 2026-го

JINX-0164 отражает опасное слияние трендов, которые активно набирали обороты в 2025-м и начале 2026 года. Она объединяет таргетированную социальную инженерию, кастомные вирусы для часто недооценённой в плане угроз платформы macOS и реестровую атаку на supply chain в npm. Кроме того, группировка демонстрирует настойчивое желание прорваться с конечных устройств в инструменты разработки — туда, где код создаётся, собирается и распространяется.

Для ИБ-отделов в крипто- и Web3-компаниях урок суров: всего один разработчик, клюнувший на красиво оформленное предложение в LinkedIn, может спровоцировать целый каскад взломов — от личных криптокошельков до ключевых сборочных конвейеров. Эффективное детектирование и реагирование на такие угрозы требует мониторинга не только конечных точек, но и реестров пакетов, поведения в момент импорта и CI/CD-систем, находящихся ниже по цепочке.