深度解析 JINX-0164：一個混用 LinkedIn 社交工程、自製 macOS 惡意軟體與 npm 供應鏈攻擊的新型態威脅組織

MINIRAT：以 Go 語言為基礎的遠端存取木馬

MINIRAT 是一個功能完整的 Go 語言 macOS 遠端存取木馬（RAT），它能提供持續性的後門存取權限。其功能包括執行任意的 Shell 指令、竊取檔案，以及下載並啟動次級的有效負載 。

這個木馬程式使用了多種隱匿技術：

• 反虛擬機器躲避機制（Anti-VM Evasion）： 它內建了檢查機制，可以偵測自己是否在虛擬機器中執行，這很可能是為了要規避自動化的惡意軟體分析沙箱 。
• 加密的 C2 通訊： 它透過 HTTPS 進行指令與控制（C2）通訊，並使用 AES 加密的設定檔 。
• 隱蔽的持續性機制： MINIRAT 會安裝一個偽裝成 Apple 系統元件（com.apple.Terminal.profiler）的 LaunchAgent，確保每次使用者登入時，木馬都會重新啟動 。

供應鏈攻擊：MINIRAT 如何透過 npm 擴散

MINIRAT 一個特別危險的傳播途徑，是一場純粹在套件庫層級（Registry-level）發動的供應鏈攻擊。2026 年 4 月 7 日，威脅行為者將一個名為 @velora-dex/sdk 的合法套件之惡意版本（v9.4.1）發布到了 npm 套件庫上 。

這場攻擊的設計極具隱蔽性。攻擊者並未依賴安裝腳本或可疑的安裝後執行鉤子（Post-install Hooks）——因為這類指令常會被安全工具所攔截——而是直接將僅僅三行的惡意程式碼注入到 dist/index.js 檔案中。這意味著，一旦任何開發者的程式碼以 require() 或 import 的方式載入這個被汙染的套件時，惡意負載便會立刻執行 。

這段程式碼會去取得一個遠端的 Shell 腳本，而該腳本接著會下載 MINIRAT 後門程式，並利用前述的 LaunchAgent 手法，將其持續性駐留在 macOS 系統上 。由於該套件看似一個實用的去中心化金融（DeFi）開發工具包，因此成為一個能極高效率鎖定加密貨幣領域開發者的特洛伊木馬。

不僅是筆電：CI/CD 基礎設施的劫持

JINX-0164 的野心遠不止於單一開發者的端點。Wiz 報告指出，在取得受害者筆電的立足點後，該組織還進行了橫向移動，進一步入侵 CI/CD 流程和更廣泛的開發基礎設施 。

這個攻擊階段至關重要，因為它將一台被入侵的筆電，轉變為威脅整個軟體交付生命週期的潛在風險。透過存取建置系統和程式碼儲存庫，威脅行為者可以將惡意的變更注入到受信任的內部應用程式，甚至是正式的發布版本中，從而大幅擴大入侵活動的影響範圍 。

北韓的陰影

威脅情報社群並未忽視此行動所展現的熟悉手法。JINX-0164 的作業模式與長期以來歸因於北韓國家贊助團體（尤其是 Lazarus Group，也被追蹤為 AppleJeus、Contagious Interview 或 DeceptiveDevelopment）的行動高度相似。其共同的「DNA」包括：LinkedIn 上的假工作誘餌、鎖定加密貨幣開發者，以及對 macOS 特定惡意軟體的持續專注 。

資安公司 ESET 曾記錄過與北韓有關聯的團體，使用幾乎相同的劇本進行加密貨幣竊盜，並對 Windows、Linux 和 macOS 上的自由開發者進行社交工程攻擊 。儘管有這些強烈的戰術重疊，Wiz 的官方報告仍止步於宣布其與北韓 Lazarus Group 之間有明確的聯繫，將正式的歸因保持為懸而未決的狀態 。

這場活動完美地融入了全球性的模式——也就是由國家力量支持的組織，將 IT 工作者和開發者作為主要的存取途徑。Mandiant 和 GitHub 都曾發布過相關研究，揭露了像 Jade Sleet 這樣的團體，以及透過類似的假工作面試程式挑戰來散布 COVERTCATCH 惡意軟體的攻擊活動 。

為何這起攻擊是 2026 年的警訊

JINX-0164 反映出在 2025 年和 2026 年初不斷加速的多種攻擊趨勢的危險融合。它結合了高度針對性的社交工程、針對一個常被忽略平台（macOS）的客製化惡意軟體，以及一場僅限於套件庫的 npm 供應鏈攻擊。同時，它也展示了從端點積極滲透到程式碼的編寫、建置與發布等開發工具的強烈野心。

對於加密貨幣和 Web3 組織的安全團隊而言，這起事件的教訓非常明確：只要有一名開發者落入一個精心包裝的 LinkedIn 訊息陷阱，就可能導致一連串的災難性入侵，從個人的錢包一路擴散到核心的建置基礎設施。偵測與應對的能力，不僅要求對端點有完全的能見度，更需要將可視性擴展到套件庫、匯入時的行為，以及位於下游的 CI/CD 系統。