深度揭秘JINX-0164：假猎头、macOS木马与供应链攻击如何围猎加密圈开发者

MINIRAT：基于Go语言的后门程序

MINIRAT是一个功能完备的Go语言macOS远程访问木马（RAT），用以提供持久的后门访问。它能够执行任意Shell命令、窃取文件，并能下载和启动后续的载荷 。

该木马运用了多种隐蔽技术：

• 反虚拟机逃避：它内置了检测机制，以防止自己在虚拟机环境中运行，这样可以规避多数恶意软件自动化分析沙箱的侦测 。
• 加密的C2通信：其命令与控制（C2）通信通过HTTPS进行，并使用AES加密的配置文件来掩人耳目 。
• 狡猾的持久化驻留：MINIRAT会安装一个伪装成苹果系统组件的LaunchAgent（com.apple.Terminal.profiler），确保每次用户登录时都能重新启动后门，悄无声息地生根发芽 。

第三步：供应链投毒——npm包里的“特洛伊木马”

MINIRAT传播途径中最危险的一环，是一场纯粹的注册表级别供应链攻击。2026年4月7日，攻击者将一个恶意版本（v9.4.1）的合法npm包@velora-dex/sdk发布到了npm注册表 。

这次攻击的设计极其狡猾。它没有依赖任何可疑的安装脚本（如 postinstall），这些操作通常会被安全工具重点监控。相反，攻击者直接在dist/index.js文件中注入了仅仅三行恶意代码。当开发者的项目require()或import这个被污染的包时，恶意代码会立刻执行，让你防不胜防 。

这段代码会从远端获取一个Shell脚本，后者利用LaunchAgent技术在macOS系统上下载并让MINIRAT后门获得持久化驻留 。该软件包表面上是一个实用的DeFi工具包，针对加密货币领域的开发者而言，这无疑是一个极高明的“特洛伊木马”。

第四步：从个人电脑到核心代码仓库的“蛙跳”攻击

JINX-0164的野心远不止于单个开发者的电脑。Wiz报告称，攻击者在获得受害者笔记本电脑的立足点后，会横向移动去污染CI/CD流水线和更广泛的开发基础设施 。

这是攻击中最致命的一环。一台被攻破的个人电脑，足以威胁到整个软件交付的生命周期。一旦获得构建系统和代码仓库的访问权限，攻击者就可以在内部信任的应用甚至官方版本中注入恶意代码，极大程度地将入侵影响规模化、灾难化 。

暗影中的“同道中人”：与朝鲜黑客的千丝万缕

威胁情报界并没有忽视这场攻击中那些熟悉的“手艺”。JINX-0164的行动特征，与长期归因于朝鲜国家支持的黑客组织（尤其是拉撒路集团）的相关行动高度重合。这些行动也被称作“AppleJeus”、“传染性面试”（Contagious Interview）或“欺骗性开发”（DeceptiveDevelopment）。其共同特征包括：领英上的虚假工作诱饵、对加密货币开发者的定向攻击，以及持续聚焦于macOS平台的恶意软件 。

知名安全公司ESET也曾记录过，与朝鲜有关的黑客组织在Windows、Linux和macOS平台上，使用几乎相同的“剧本”来窃取加密货币，并对自由职业开发者进行社交工程攻击 。尽管战术上有着这些显著重迭，Wiz的官方报告目前仍未明确指出JINX-0164与朝鲜拉撒路集团有确切关联，对该组织的正式身份溯源留有余地 。

2026年的警示：当个人信任危机演变为代码信任危机

JINX-0164事件折射出一种危险的融合趋势，这在2025年乃至2026年初正加速蔓延。它将定制化社交工程、针对一个常被忽视的平台（macOS）的专用恶意软件，以及纯注册表级别的npm供应链攻击融于一体。更重要的是，它还展露了一种侵略性的企图，从个人终端蔓延到铸造、构建和分发代码的开发工具。

对加密货币和Web3组织的安全团队来说，这个教训是残酷的：一个开发者落入一个看似天衣无缝的领英招聘骗局，就可能导致一连串的崩溃，从个人钱包到核心构建基础设施均遭失陷。有效的检测和响应能力，不仅需要关注终端设备，更需要深入洞察软件包注册表、代码导入时的行为，以及下游的CI/CD系统。