暗号資産組織を狙った一連の標的型侵害について、その活動がJINX-0164として追跡される新たな脅威アクターによるものと特定されました。
このキャンペーンは、高度なソーシャルエンジニアリング、カスタムmacOSマルウェア、そして開発環境・CI/CD環境への深い侵入を組み合わせており、攻撃者は個々の開発者エンドポイントから重要なソフトウェア配布システムへと横展開することが可能です。
このグループは主に採用を装ったルアーを使って開発者を標的にしており、LinkedInでは正規のビジネス連絡先になりすまし、信頼関係を築いてからマルウェアを送り込みます。
2026年初頭の詳細なケーススタディにより、攻撃のライフサイクル全体が明らかになっています。侵害はLinkedInでのバーチャルミーティングを提案する巧みなメッセージから始まりました。
被害者はMicrosoft Teamsなどのカンファレンスプラットフォームを模倣した悪意のあるドメインへ誘導されます。偽のクライアントをダウンロード・実行すると、Appleドライバドメインを偽装したサーバにホストされたbashスクリプト経由で、AUDIOFIXと呼ばれるPythonベースのmacOSマルウェアが展開されます。
このマルウェアはcoreaudiodというシステムオーディオコンポーネントに偽装し、launchctlから実行されることで永続性を確立し、HTTPS経由でコマンド&コントロール(C2)サーバと通信します。
GBhackersと共有されたレポートでWizの研究者たちは、JINX-0164は少なくとも2025年半ば以降に活動しており、暗号資産や高価値な認証情報の窃取を主目的とした金銭的動機を持つと見られると述べています。
macOS Keychainの認証情報、ブラウザデータ、SSHキー、クラウドトークン、暗号資産ウォレット情報など、広範な機密データの収集が可能です。
また、パスワードフィッシング活動の痕跡も確認されており、侵害されたシステムにはXORエンコードされた認証情報がローカルに保存されています。
JINX-0164による暗号資産企業への標的型攻撃
JINX-0164は窃取した認証情報を使って横移動を行いましたが、その手法は従来のクラウド悪用ではなく、内部の開発インフラを標的にするというものでした。
主な指標は、悪意あるコミットに表示された unverified バッジと、侵害されたユーザーのGPGキーとの過去の関連性であり、コミットに署名したユーザーとコミット作成者の表示が一致しないことを示しています。
GitHubトークンにより、攻撃者はnord-streamなどのツールを使ってCI/CDパイプラインから直接シークレットを抽出できました。
脅威アクターはその後、リポジトリに悪意あるコードを注入しました。コミットメタデータを改ざんしたり、保護されていないプロジェクトのメインブランチへ直接プッシュしたりすることで、正規の開発者になりすます手法が多用されました。
この手法により、開発環境が実質的な感染拡散の起点へと変わりました。他の開発者が侵害されたコードをプルしてビルドすると追加のシステムが感染し、攻撃者の足場が広がっていきます。
一部のケースでは、GitHubのVigilant Modeが未検証のコミットや署名IDの不一致を通じて異常を検知するのに役立ちました。
エンドポイントの侵害にとどまらず、JINX-0164はサプライチェーン攻撃の能力も示しています。2026年4月7日、このグループはnpmパッケージ@velora-dex/sdkのバージョン4.9.1をトロイの木馬化しました。
この悪意ある改ざんにより、パッケージにbase64エンコードされたコマンドが注入され、リモートスクリプトが実行されてMINIRAT——軽量なGoベースのバックドア——が展開されます。
AUDIOFIXとは異なり、MINIRATは大規模なデータ窃取よりも永続性の確立とリモートコマンド実行に特化しています。
両マルウェアファミリーはdatahub.ink、cloud-sync.online、byte-io.usなどのC2ドメインを含む重複したインフラを共有しています。
攻撃者はMullvad、Astrill、ExpressVPNなどのVPNサービスを利用して、クラウドおよびSaaS環境での活動を隠蔽しました。
JINX-0164はUNC1069やSapphire Sleetなど既知の北朝鮮系脅威クラスターと戦術的な類似点を持つものの、研究者たちはインフラの直接的な重複を発見できず、独自の未追跡アクターであることが示されています。
このグループがmacOSシステムと開発者中心の環境に一貫して注力している点は、ソフトウェアサプライチェーンと暗号資産エコシステムの悪用という戦略的な方向転換を浮き彫りにしています。
セキュリティチームはエンドポイントの活動、監査ログ、CI/CDワークフローの異常を注意深く監視することが推奨されます。特に、通常とは異なるVPNの使用、GitHub Actionsの不正な活動、未検証のコミット、不審なパッケージの更新には細心の注意を払う必要があります。
このキャンペーンは、開発者を標的とした攻撃のリスクが増大していること、そして現代の脅威オペレーションにおいてソーシャルエンジニアリング、マルウェア、サプライチェーン侵害の融合が進んでいることを改めて示しています。
侵害の痕跡(IOC)
| マルウェア | バリアント/テーマ(インフラ) | ハッシュ |
|---|---|---|
| MINIRAT | ARM64 | 0a8ab3d16b12d3a453ee5a3208fe04744ad54514ef8ea27bb8fe32679efad270 |
| MINIRAT | x86_64 | 0b028b781950641818800fee2b4bf68e4ef2bcee53fe71a21755275ba108783d |
| MINIRAT | ARM64 | a35d2b67fa478a7174e308b43ce30bf69b3bc6f44fa76197fdf95fc2fbc1cf5b |
| AUDIOFIX | HTTPS/ARM64 | 65cba741fe30fa4799fb9002ea8de6d96042a59159dd7c3419c766af24c835e6 |
| AUDIOFIX | HTTPS/x86_64 | 0b1a36a31b952341a534fe24890f1ed2921ee259773cff46e4f6273b8c4d5d21 |
| AUDIOFIX | Dropbox/ARM64 | e8ee6f5145c9d503c5130bfc6585567f6e19d409158c3c0ca0b259f1875b15f4 |
| AUDIOFIX | Dropbox/x86_64 | 3e3901519c2305fbe9d5483b7234c25c6d2b562512916481d96f26b849c39fdb |
| ドロッパー | 偽のオーディオ修正 (apple.driver-store.com) | 9c2ce925133a3bf5a924063bbef8df49918d5b7258695c1894cd18c75970157a |
| ドロッパー | 偽のオーディオ修正 (apple.driver-update.io) | 402625ec79e3573a80b6de9b33fc1e503e3c7803603cd958ddd515fb0549007c |
| ドロッパー | 偽のオーディオ修正 (driver-updater.net) | b6cab0b3aa8e56e2427f486c74588d598ae58bb0cbc0eda6939fe171cb0aed17 |
| ドロッパー | 偽のChrome更新 (apple.driver-store.com) | d4e863f9818bfb2f1dd932df6441dff204e6142c3bdb55b298cb08dc7b6a0c62 |
| ドロッパー | サプライチェーン経由で配布 (89.36.224.5) | c6ef82d2864dfd26f117a1ef5602679153423f2742970a7949cec72722f0a01e |
| ドロッパー | サプライチェーン経由で配布 (89.36.224.5) | 2a10ffe0367bb1b26ba2c3bc600892c21074725c0b8c9dc9161e6ceb33915460 |
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にdefang処理(例:[.])が施されています。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、defangを解除してください。
翻訳元: https://gbhackers.com/jinx-0164-targets-crypto-firms/
