黑客扮獵頭、滲透npm套件：JINX-0164組織如何用三部曲攻陷加密貨幣開發圈

MINIRAT：Go語言開發嘅遙控木馬

MINIRAT係一個功能齊全、用Go語言寫嘅macOS遙控木馬（RAT），可以提供持續嘅後門存取權限。佢嘅功能包括執行任意Shell指令、偷檔案，仲可以下載同執行第二階段嘅惡意程式 。

呢隻木馬用咗幾種隱蔽技術：

• 反虛擬機檢查： 佢會偵測自己係咪喺虛擬機入面執行，好大機會係為咗避開自動化惡意軟件分析沙盒 。
• 加密C2通訊： 指揮同控制伺服器嘅通訊係透過HTTPS進行，仲用咗AES加密配置 。
• 隱蔽嘅持續執行機制： MINIRAT會安裝一個偽裝成Apple系統組件（com.apple.Terminal.profiler）嘅LaunchAgent，確保每次用家登入都會重新啟動佢 。

第三步：供應鏈攻擊——MINIRAT點樣透過npm散播

MINIRAT有一個特別危險嘅散播途徑，就係一次純粹喺套件註冊庫層面發動嘅供應鏈攻擊。2026年4月7日，攻擊者將一個惡意版本（v9.4.1）嘅合法套件@velora-dex/sdk發布咗去npm（Node.js嘅套件管理系統） 。

呢次攻擊嘅設計好鬼鼠。攻擊者唔係靠安裝腳本或者可疑嘅安裝後鉤子——呢啲指令通常會被保安工具攔截——而係直接將三行惡意程式碼注入dist/index.js。呢個程式碼喺開發人員一行require()或者import指令載入呢個被污染嘅套件嗰一刻，就會即刻執行 。

呢段程式碼會擷取一個遠端Shell腳本，再透過呢個腳本下載MINIRAT後門，然後用LaunchAgent技術確保佢喺macOS系統持續執行 。呢個套件表面睇係一個好用嘅DeFi（去中心化金融）開發工具，令佢成為一個極之有效嘅木馬，專門針對加密貨幣界嘅開發人員。

唔止偷你部機：騎劫CI/CD基建

JINX-0164嘅野心唔止於單一部開發人員嘅電腦。Wiz報告指出，攻擊者喺受害者手提電腦企穩陣腳之後，仲會橫向移動，去入侵CI/CD管道同更廣泛嘅開發基建 。

呢個攻擊階段好關鍵，因為佢將單一部中咗毒嘅電腦，變成咗威脅成個軟件交付流程嘅風險。一旦俾佢存取到建構系統同程式碼儲存庫，攻擊者就可以將惡意修改注入受信任嘅內部應用程式，甚至正式發布嘅版本，將入侵嘅影響規模大幅放大 。

北韓黑客嘅影子

威脅情報界冇忽略今次行動入面嗰啲熟口熟面嘅手法。JINX-0164嘅行動特徵同埋過往長時間被歸類為北韓國家支持黑客組織嘅行動極之相似，特別係Lazarus集團（亦被追蹤為AppleJeus、Contagious Interview或DeceptiveDevelopment）。共通嘅DNA包括喺LinkedIn用假招聘引誘目標、針對加密貨幣開發人員，同埋持續專注開發macOS惡意軟件 。

網絡安全公司ESET亦記錄過，有北韓關聯組織用近乎一樣嘅劇本，透過社交工程針對Windows、Linux同macOS平台嘅自由職業開發人員，去偷加密貨幣 。儘管戰術重疊得咁明顯，Wiz嘅官方報告並冇斬釘截鐵話JINX-0164就係北韓Lazarus集團，正式嘅歸屬判定仲係懸而未決 。

呢次攻擊行動，同全球一啲國家支持黑客組織，專搵IT同開發人員作為主要入侵途徑嘅大趨勢完全吻合。Mandiant同GitHub都曾經發表過調查結果，踢爆過Jade Sleet等組織，透過類似嘅假工作面試編程測試去派送COVERTCATCH惡意軟件 。

點解呢次攻擊係2026年嘅警號

JINX-0164反映咗一種危險嘅攻擊趨勢大融合，呢啲趨勢喺2025年同2026年初不斷升溫。佢結合咗針對性社交工程、專為一個成日被忽略嘅平台（macOS）開發嘅惡意軟件，同埋一次純粹喺npm套件註冊庫層面發動嘅供應鏈攻擊。佢仲展示咗一種由端點電腦，貪婪咁移動到負責產出、建構同分發程式碼嘅開發工具嘅強烈意圖。

對於加密貨幣同Web3公司嘅安全團隊嚟講，教訓好清楚：一個開發人員，只要信咗一個執得靚靚嘅LinkedIn推銷訊息，就可以引發一連串骨牌式嘅入侵，由個人錢包波及到核心嘅建構基建。要偵測同應對，唔單止要睇住啲端點設備，仲要滲透到套件註冊庫、引入程式碼嗰刻嘅行為，同埋下游嘅CI/CD系統。