O JINX-0164 sequestra máquinas de desenvolvedores de criptomoedas por meio de links de reunião falsos

Ameaça a Desenvolvedores de Cripto: Grupo JINX-0164 Usa Reuniões Falsas para Roubar Dados

Um grupo de hackers, o JINX-0164, está alvejando desenvolvedores de criptomoedas no LinkedIn. Eles usam perfis falsos para marcar reuniões que, na verdade, instalam malwares perigosos.

• Alvo principal: Desenvolvedores de criptomoedas e IA.
• Método: Links falsos para reuniões (imitando Microsoft Teams).
• Malware principal: AUDIOFIX (para macOS) e MINIRAT.

Como o Ataque Funciona

O golpe começa com um convite de reunião no LinkedIn. O link enviado leva a um site falso que instala o AUDIOFIX no Mac da vítima. Esse malware rouba senhas, chaves SSH, tokens de nuvem (AWS, GCP, Azure) e dados de carteiras de criptomoedas.

Alvo: Código e Infraestrutura

Diferente de outros ladrões de dados, o JINX-0164 foca em repositórios de código e pipelines de desenvolvimento. Eles usam tokens roubados do GitHub para injetar código malicioso em projetos internos, infectando outros desenvolvedores que baixam o código contaminado. Em abril de 2026, eles comprometeram um pacote npm público.

Sinais de Alerta e Recomendações

O grupo usa VPNs para se esconder e compartilha servidores de comando entre seus malwares. Ataques a desenvolvedores de cripto visam lucro financeiro.

Empresas de criptomoedas devem:

• Reforçar a segurança em pipelines de CI/CD.
• Verificar commits no GitHub (assinaturas não verificadas são um sinal).
• Desconfiar de convites de reunião no LinkedIn.