JINX 0164 คือกลุ่มภัยคุกคามที่มุ่งเน้นการเงิน ซึ่งถูกระบุครั้งแรกโดย Wiz ในเดือนพฤษภาคม 2026 โดยพุ่งเป้าไปที่องค์กรด้านคริปโตเคอร์เรนซี ด้วยข้อเสนองานปลอมบน LinkedIn มัลแวร์ macOS ที่สั่งทำพิเศษ และการโจมตีซัพพลายเชนเ... แคมเปญนี้เกี่ยวข้องกับมัลแวร์ตระกูลใหม่สองตัว ได้แก่ AUDIOFIX โปรแกรมขโมยข้อมูลที่เขียนด้วย Pyth...

Create a landscape editorial hero image for this Studio Global article: What is the newly disclosed threat actor JINX-0164, as identified by Wiz in May 2026, including its targeting of cryptocurrency organization. Article summary: Here is the full picture of JINX-0164 based on Wiz's May 2026 disclosure and corroborating security research.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "This article lists selected threat actors tracked by Palo Alto Networks Unit 42, using our specific designators for these groups. The information presented here is a list of threat" source context "Threat Actor Groups Tracked by Palo Alto Networks Unit 42 ..." Reference image 2: visual subject "# Threat Actors Merging Malicious Activity With Cryptocurrency Show How the Attack Landscape is Developing in Decentralized Finan
ในเดือนพฤษภาคม 2026 บริษัทด้านความปลอดภัยคลาวด์ Wiz ได้เปิดเผยถึงกลุ่มผู้คุกคามหน้าใหม่ที่ถูกตั้งชื่อว่า JINX-0164 กลุ่มนี้ได้พุ่งเป้าโจมตีองค์กรด้านคริปโตเคอร์เรนซีและ Web3 อย่างเป็นระบบ ด้วยห่วงโซ่การโจมตีหลายขั้นตอนที่ผสมผสานระหว่างการหลอกลวงทางวิศวกรรมสังคมที่ซับซ้อน มัลแวร์ macOS ที่ถูกสร้างขึ้นมาโดยเฉพาะ และการโจมตีซัพพลายเชนของซอฟต์แวร์อย่างแนบเนียน เป้าหมายของแคมเปญนี้คือการขโมยสินทรัพย์ดิจิทัล แต่วิธีการของมันเปิดทางให้สามารถเจาะลึกเข้าไปถึงสภาพแวดล้อมของนักพัฒนาและระบบ CI/CD ได้อย่างอันตราย
นี่คือรายละเอียดของวิธีการโจมตี เครื่องมือพิเศษที่ใช้ และเหตุผลว่าทำไมมันถึงส่งสัญญาณถึงการเปลี่ยนแปลงที่น่ากังวลของภัยคุกคามต่อภาคส่วนคริปโต
JINX-0164 ไม่ได้เจาะเครือข่ายผ่านช่องโหว่ไฟร์วอลล์หรือการเดารหัสผ่าน แต่ผู้ปฏิบัติการของมันสร้างโปรไฟล์ Recruiter ปลอมที่น่าเชื่อถือบน LinkedIn เพื่อพุ่งเป้าไปที่นักพัฒนาที่ทำงานในบริษัทคริปโตและ Web3
การทำวิศวกรรมสังคมนี้ถูกปรับแต่งและน่าเชื่อถือ เหยื่อจะถูกติดต่อด้วยข้อเสนองานหรือโอกาสทางธุรกิจที่น่าสนใจ เมื่อเริ่มบทสนทนาแล้ว เป้าหมายจะถูกชักจูงให้ดาวน์โหลดและรันไฟล์ที่ปลอมตัวเป็นแบบทดสอบการเขียนโค้ด เครื่องมือสำหรับการประชุม หรือแอปพลิเคชันนัดหมาย การรันไฟล์นี้คือจุดเริ่มต้นของการติดเชื้อ
หลังจากเหยื่อรันไฟล์ล่อลวงเริ่มต้น JINX-0164 จะส่งมัลแวร์ macOS ที่ถูกสร้างขึ้นโดยเฉพาะ Wiz ระบุว่ามีสององค์ประกอบที่ใช้ในแคมเปญนี้
AUDIOFIX คือโปรแกรมขโมยข้อมูลที่เขียนด้วย Python ซึ่งสร้างขึ้นสำหรับ macOS โดยเฉพาะและถูกส่งผ่านไฟล์ล่อลวงทางวิศวกรรมสังคม หน้าที่หลักของมันคือค้นหาและขโมยข้อมูลกระเป๋าคริปโตเคอร์เรนซี, Private Key และข้อมูลลับของนักพัฒนาจากเครื่องของเหยื่อ
MINIRAT คือ RAT (Remote Access Trojan) สำหรับ macOS ที่เขียนด้วย Go ซึ่งมีคุณสมบัติครบครันและให้การเข้าถึงแบบ Backdoor อย่างต่อเนื่อง ความสามารถของมันรวมถึงการรันคำสั่ง Shell ตามอำเภอใจ การขโมยไฟล์ และความสามารถในการดาวน์โหลดและเปิดใช้เพย์โหลดลำดับถัดไป
โทรจันตัวนี้ใช้เทคนิคการหลบซ่อนหลายประการ:
com.apple.Terminal.profiler) เพื่อให้แน่ใจว่ามันจะเริ่มทำงานใหม่ทุกครั้งที่ผู้ใช้ล็อกอิน ช่องทางที่อันตรายอย่างยิ่งสำหรับ MINIRAT คือการโจมตีซัพพลายเชนในระดับ Registry เพียงอย่างเดียว เมื่อวันที่ 7 เมษายน 2026 ผู้คุกคามได้เผยแพร่แพ็คเกจ @velora-dex/sdk เวอร์ชันอันตราย (v9.4.1) ซึ่งเป็นเครื่องมือที่ถูกต้อง ขึ้นบน npm registry
การโจมตีถูกออกแบบมาอย่างแนบเนียน แทนที่จะพึ่งพาสคริปต์ตอนติดตั้งหรือ Hook หลังการติดตั้งที่น่าสงสัย ซึ่งเป็นคำสั่งที่เครื่องมือรักษาความปลอดภัยมักจะจับได้ ผู้โจมตีแทรกโค้ดที่เป็นอันตรายเพียงสามบรรทัดลงใน dist/index.js โดยตรง เพย์โหลดจะทำงานทันทีที่นักพัฒนาใช้คำสั่ง require() หรือ import แพ็คเกจที่ถูกบุกรุกนี้
โค้ดนี้จะดึงสคริปต์ Shell จากระยะไกล ซึ่งจะดาวน์โหลดและติดตั้ง Backdoor MINIRAT บนระบบ macOS โดยใช้เทคนิค LaunchAgent แพ็คเกจนี้ดูเหมือนเป็นชุดเครื่องมือ DeFi ที่มีประโยชน์ ทำให้มันเป็นม้าโทรจันที่มีประสิทธิภาพสูงในการพุ่งเป้าไปยังนักพัฒนาในวงการคริปโต
ความทะเยอทะยานของ JINX-0164 ขยายออกไปนอกเหนือจากอุปกรณ์ของนักพัฒนาคนเดียว Wiz รายงานว่าหลังจากได้จุดยืนบนแล็ปท็อปของเหยื่อแล้ว ผู้คุกคามได้เคลื่อนตัวในแนวราบเพื่อบุกรุกระบบ CI/CD pipelines และโครงสร้างพื้นฐานการพัฒนาในวงกว้าง
ขั้นตอนของการโจมตีนี้มีความสำคัญเพราะมันเปลี่ยนแล็ปท็อปที่ถูกบุกรุกเพียงเครื่องเดียวให้กลายเป็นความเสี่ยงที่อาจเกิดขึ้นกับวงจรการส่งมอบซอฟต์แวร์ทั้งหมด การเข้าถึงระบบ Build และที่เก็บโค้ด (Code Repository) จะทำให้ผู้คุกคามสามารถแทรกการเปลี่ยนแปลงที่เป็นอันตรายลงในแอปพลิเคชันภายในที่เชื่อถือได้ หรือแม้กระทั่งเวอร์ชันที่ปล่อยออกไปอย่างเป็นทางการ ซึ่งจะเพิ่มระดับผลกระทบของการบุกรุกอย่างมาก
ชุมชนด้านข่าวกรองภัยคุกคามไม่ได้เพิกเฉยต่อกลยุทธ์ที่คุ้นเคยซึ่งปรากฏให้เห็น รูปแบบปฏิบัติการของ JINX-0164 นั้นสะท้อนกับแคมเปญที่ถูกระบุว่าเป็นของกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือมาอย่างยาวนาน โดยเฉพาะกลุ่ม Lazarus (ซึ่งติดตามในชื่อ AppleJeus, Contagious Interview หรือ DeceptiveDevelopment) ลักษณะร่วมที่สำคัญ ได้แก่ การใช้ข้อเสนองานปลอมบน LinkedIn, การพุ่งเป้าไปที่นักพัฒนาคริปโต และการมุ่งเน้นอย่างต่อเนื่องไปที่มัลแวร์สำหรับ macOS โดยเฉพาะ
ESET เคยบันทึกไว้ว่ากลุ่มที่เชื่อมโยงกับเกาหลีเหนือใช้แผนการที่เกือบจะเหมือนกันทุกประการเพื่อขโมยคริปโตเคอร์เรนซีและทำวิศวกรรมสังคมกับนักพัฒนาฟรีแลนซ์บน Windows, Linux และ macOS แม้ว่าจะมีความคล้ายคลึงกันในเชิงกลยุทธ์อย่างมาก แต่รายงานอย่างเป็นทางการของ Wiz ยังไม่ได้ระบุอย่างชัดเจนว่าเชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือ โดยคงไว้ซึ่งการระบุแหล่งที่มาอย่างเป็นทางการที่ยังไม่ชัดเจน
แคมเปญนี้เข้ากันได้ดีกับรูปแบบระดับโลกของกลุ่มที่ได้รับการสนับสนุนจากรัฐ ซึ่งใช้พนักงานไอทีและนักพัฒนาเป็นช่องทางเข้าถึงหลัก Mandiant และ GitHub ต่างเคยเผยแพร่ผลการค้นพบเกี่ยวกับกลุ่มอย่าง Jade Sleet และคลัสเตอร์ที่ส่งมัลแวร์ COVERTCATCH ผ่านความท้าทายในการเขียนโค้ดสำหรับการสัมภาษณ์งานปลอมในลักษณะเดียวกัน
JINX-0164 สะท้อนให้เห็นถึงการผสมผสานที่อันตรายของแนวโน้มการโจมตีที่ทวีความรุนแรงขึ้นตลอดปี 2025 และต้นปี 2026 มันรวมเอาวิศวกรรมสังคมแบบเจาะจงเป้าหมาย มัลแวร์ที่สร้างขึ้นเองสำหรับแพลตฟอร์มที่มักถูกมองข้าม (macOS) และการโจมตีซัพพลายเชนผ่าน npm ในระดับ Registry เพียงอย่างเดียว มันยังแสดงให้เห็นถึงความพยายามเชิงรุกที่จะเคลื่อนตัวจากอุปกรณ์ปลายทางเข้าไปยังเครื่องมือพัฒนาที่ใช้ในการสร้าง, build, และกระจายโค้ด
สำหรับทีมรักษาความปลอดภัยในองค์กรคริปโตและ Web3 บทเรียนนี้ชัดเจน: การที่นักพัฒนาคนเดียวหลงกลข้อเสนอที่ดูดีบน LinkedIn เพียงครั้งเดียวสามารถนำไปสู่การบุกรุกเป็นลูกโซ่ ตั้งแต่กระเป๋าเงินส่วนตัวไปจนถึงโครงสร้างพื้นฐานการ Build หลัก ความสามารถในการตรวจจับและตอบสนองนั้นจำเป็นต้องมีการมองเห็นไม่เพียงแต่บนอุปกรณ์ปลายทาง แต่รวมถึง Package Registry, พฤติกรรม ณ เวลาที่ Import และระบบ CI/CD ที่อยู่ถัดลงไปด้วย
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
JINX 0164 คือกลุ่มภัยคุกคามที่มุ่งเน้นการเงิน ซึ่งถูกระบุครั้งแรกโดย Wiz ในเดือนพฤษภาคม 2026 โดยพุ่งเป้าไปที่องค์กรด้านคริปโตเคอร์เรนซี ด้วยข้อเสนองานปลอมบน LinkedIn มัลแวร์ macOS ที่สั่งทำพิเศษ และการโจมตีซัพพลายเชนเ...
JINX 0164 คือกลุ่มภัยคุกคามที่มุ่งเน้นการเงิน ซึ่งถูกระบุครั้งแรกโดย Wiz ในเดือนพฤษภาคม 2026 โดยพุ่งเป้าไปที่องค์กรด้านคริปโตเคอร์เรนซี ด้วยข้อเสนองานปลอมบน LinkedIn มัลแวร์ macOS ที่สั่งทำพิเศษ และการโจมตีซัพพลายเชนเ... แคมเปญนี้เกี่ยวข้องกับมัลแวร์ตระกูลใหม่สองตัว ได้แก่ AUDIOFIX โปรแกรมขโมยข้อมูลที่เขียนด้วย Python และ MINIRAT แบ็คดอร์ที่เขียนด้วย Go ซึ่งตัวหลังถูกส่งผ่านแพ็คเกจ npm ที่เป็นอันตรายชื่อ @velora dex/sdk และจะทำงานทันท...
แม้ว่าวิธีการของ JINX 0164 จะคล้ายคลึงกับกลุ่ม Lazarus ของเกาหลีเหนืออย่างมาก แต่ Wiz ยังไม่ได้ออกมาระบุแหล่งที่มาอย่างเป็นทางการ