JINX 0164是一个在2026年5月由云安全公司Wiz首次曝光的黑客组织,专门针对加密货币公司。他们通过领英(LinkedIn)上的虚假猎头身份、定制的macOS恶意软件以及供应链攻击,来窃取数字资产[1][2]。 该行动使用了两个全新的恶意软件家族:Python编写的信息窃取器AUDIOFIX和Go语言编写的后门程序MINIRAT。其中,MINIRAT通过一个名为@velora dex/sdk的恶意npm包传播,只要代码导入该包就会立刻触发,全程无安装脚本[1][17]。

Create a landscape editorial hero image for this Studio Global article: What is the newly disclosed threat actor JINX-0164, as identified by Wiz in May 2026, including its targeting of cryptocurrency organization. Article summary: Here is the full picture of JINX-0164 based on Wiz's May 2026 disclosure and corroborating security research.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "This article lists selected threat actors tracked by Palo Alto Networks Unit 42, using our specific designators for these groups. The information presented here is a list of threat" source context "Threat Actor Groups Tracked by Palo Alto Networks Unit 42 ..." Reference image 2: visual subject "# Threat Actors Merging Malicious Activity With Cryptocurrency Show How the Attack Landscape is Developing in Decentralized Finan
如果你是一名加密货币或Web3领域的开发者,在领英上收到一条来自某知名风投机构HR的私信,对方热情地邀请你聊聊一个“令人兴奋的远程工作机会”,你会心动吗?请注意,这很可能不是天上掉下的馅饼,而是一张精心编织的猎网。
2026年5月,云安全公司Wiz披露了一个名为JINX-0164的新威胁组织。该组织正系统性地对加密货币和Web3公司发起攻击,其手法融合了精密的社交工程、定制的macOS恶意软件,以及极其隐蔽的软件供应链污染。他们的最终目标是窃取数字资产,但攻击路径却足以渗透到更深层次的开发者环境和CI/CD流水线中 。
JINX-0164的入侵方式并非利用防火墙漏洞或密码爆破,而是直接在领英上伪造出极具信服力的招聘人员身份,专门接近加密货币和Web3公司的开发者 。
这种社交工程非常精准。攻击者会用诱人的工作机会或合作提议与目标建立联系。一旦对话展开,对方就会诱导你下载并运行一个伪装成“编程测试题”、“视频会议工具”或“协作软件”的文件。当你运行这个看似无害的文件时,感染就已经开始了 。
当受害者执行了初始诱饵后,JINX-0164就会投放其定制的macOS木马。Wiz在此次行动中识别出了两种不同的恶意组件。
AUDIOFIX是一款专门为macOS编写的Python信息窃取器,通过社交工程诱饵进行投放 。它的主要任务是从受害者电脑中定位并窃取加密货币钱包数据、私钥以及其他开发者机密信息
。
MINIRAT是一个功能完备的Go语言macOS远程访问木马(RAT),用以提供持久的后门访问。它能够执行任意Shell命令、窃取文件,并能下载和启动后续的载荷 。
该木马运用了多种隐蔽技术:
com.apple.Terminal.profiler),确保每次用户登录时都能重新启动后门,悄无声息地生根发芽 MINIRAT传播途径中最危险的一环,是一场纯粹的注册表级别供应链攻击。2026年4月7日,攻击者将一个恶意版本(v9.4.1)的合法npm包@velora-dex/sdk发布到了npm注册表 。
这次攻击的设计极其狡猾。它没有依赖任何可疑的安装脚本(如 postinstall),这些操作通常会被安全工具重点监控。相反,攻击者直接在dist/index.js文件中注入了仅仅三行恶意代码。当开发者的项目require()或import这个被污染的包时,恶意代码会立刻执行,让你防不胜防 。
这段代码会从远端获取一个Shell脚本,后者利用LaunchAgent技术在macOS系统上下载并让MINIRAT后门获得持久化驻留 。该软件包表面上是一个实用的DeFi工具包,针对加密货币领域的开发者而言,这无疑是一个极高明的“特洛伊木马”。
JINX-0164的野心远不止于单个开发者的电脑。Wiz报告称,攻击者在获得受害者笔记本电脑的立足点后,会横向移动去污染CI/CD流水线和更广泛的开发基础设施 。
这是攻击中最致命的一环。一台被攻破的个人电脑,足以威胁到整个软件交付的生命周期。一旦获得构建系统和代码仓库的访问权限,攻击者就可以在内部信任的应用甚至官方版本中注入恶意代码,极大程度地将入侵影响规模化、灾难化 。
威胁情报界并没有忽视这场攻击中那些熟悉的“手艺”。JINX-0164的行动特征,与长期归因于朝鲜国家支持的黑客组织(尤其是拉撒路集团)的相关行动高度重合。这些行动也被称作“AppleJeus”、“传染性面试”(Contagious Interview)或“欺骗性开发”(DeceptiveDevelopment)。其共同特征包括:领英上的虚假工作诱饵、对加密货币开发者的定向攻击,以及持续聚焦于macOS平台的恶意软件 。
知名安全公司ESET也曾记录过,与朝鲜有关的黑客组织在Windows、Linux和macOS平台上,使用几乎相同的“剧本”来窃取加密货币,并对自由职业开发者进行社交工程攻击 。尽管战术上有着这些显著重迭,Wiz的官方报告目前仍未明确指出JINX-0164与朝鲜拉撒路集团有确切关联,对该组织的正式身份溯源留有余地
。
JINX-0164事件折射出一种危险的融合趋势,这在2025年乃至2026年初正加速蔓延。它将定制化社交工程、针对一个常被忽视的平台(macOS)的专用恶意软件,以及纯注册表级别的npm供应链攻击融于一体。更重要的是,它还展露了一种侵略性的企图,从个人终端蔓延到铸造、构建和分发代码的开发工具。
对加密货币和Web3组织的安全团队来说,这个教训是残酷的:一个开发者落入一个看似天衣无缝的领英招聘骗局,就可能导致一连串的崩溃,从个人钱包到核心构建基础设施均遭失陷。有效的检测和响应能力,不仅需要关注终端设备,更需要深入洞察软件包注册表、代码导入时的行为,以及下游的CI/CD系统。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
JINX 0164是一个在2026年5月由云安全公司Wiz首次曝光的黑客组织,专门针对加密货币公司。他们通过领英(LinkedIn)上的虚假猎头身份、定制的macOS恶意软件以及供应链攻击,来窃取数字资产[1][2]。
JINX 0164是一个在2026年5月由云安全公司Wiz首次曝光的黑客组织,专门针对加密货币公司。他们通过领英(LinkedIn)上的虚假猎头身份、定制的macOS恶意软件以及供应链攻击,来窃取数字资产[1][2]。 该行动使用了两个全新的恶意软件家族:Python编写的信息窃取器AUDIOFIX和Go语言编写的后门程序MINIRAT。其中,MINIRAT通过一个名为@velora dex/sdk的恶意npm包传播,只要代码导入该包就会立刻触发,全程无安装脚本[1][17]。
尽管JINX 0164的攻击手法与朝鲜的拉撒路集团(Lazarus Group)高度相似,但Wiz目前尚未就其来源给出明确的正式归因[1][8]。