JINX-0164: recruiter fake su LinkedIn e malware macOS colpiscono crypto
Il threat actor JINX-0164 ha bersagliato sviluppatori crypto con ingegneria sociale su LinkedIn, malware macOS AUDIOFIX e backdoor MiniRAT via npm compromesso.
Contenuto
JINX-0164, threat actor tracciato da Wiz e attivo dalmeno mid-2025, ha condotto campagne mirate contro aziende di criptovalute usando profili LinkedIn falsi di reclutatori per distribuire malware macOS personalizzato. La scoperta, pubblicata il 28 maggio 2026, documenta una catena di attacco che dal singolo sviluppatore compromesso è potenzialmente arrivata a infettare l'intero ecosistema downstream attraverso un pacchetto npm manipolato. L'operazione combina ingegneria sociale sofisticata, persistenza su macOS via launchctl e una tecnica di esecuzione all'import che elude i controlli standard dei registry.
- JINX-0164 usa profili LinkedIn credibili di presunti recruiter per avvicinare sviluppatori in aziende crypto, offrendo meeting virtuali che si trasformano in vettori di infezione.
- Il malware AUDIOFIX è un infostealer/RAT Python mascherato da driver audio
coreaudiod, distribuito comeChromeUpdatere reso persistente tramitelaunchctl, con furto di credenziali, chiavi SSH, wallet crypto e sessioni di messaggistica. - La backdoor MiniRAT, scritta in Go, è stata distribuita tramite la versione compromessa 9.4.1 del pacchetto npm
@velora-dex/sdk, pubblicata il 7 aprile 2026, con esecuzione del payload al primorequire()oimportsenza hook di installazione. - In almeno un caso, l'attaccante è riuscito a modificare codice sorgente per condurre un attacco supply chain, con potenziale movimento laterale da laptop compromessi a sistemi CI/CD.
Come funziona l'ingegneria sociale del falso reclutatore
La fase iniziale sfrutta la credibilità intrinseca del contesto professionale. Secondo la fonte, i ricercatori Wiz hanno documentato che JINX-0164 "leverage credible LinkedIn profiles to approach victims and offer a virtual meeting". Il profilo è costruito per risultare autentico: ruolo, azienda fittizia, connessioni reciprocate. La vittima, tipicamente uno sviluppatore in una società crypto, accetta l'invito perché il contesto è normale, atteso, desiderabile.
Durante il meeting virtuale, l'attaccante simula un problema tecnico — audio che non funziona, condivisione schermo fallita — e invia un link a un presunto fix. Il file scaricato non è un driver audio, ma AUDIOFIX: un payload Python architecture-aware, compatibile con Intel e Apple Silicon, che Wiz descrive come "masquerades as a system audio driver named coreaudiod, was saved as ChromeUpdater, and was executed via launchctl". La doppia mascheratura — nome del processo uguale a un driver di sistema, nome file uguale a un updater browser — è progettata per confondere sia l'utente che strumenti di monitoraggio superficiali.
AUDIOFIX: persistenza e furto selettivo su macOS
Una volta eseguito, AUDIOFIX si installa come agente persistente tramite launchctl, il sistema di gestione servizi di macOS. La scelta non è casuale: launchctl è legittimo, firmato da Apple, e il suo uso da processi con privilegi utente non scatta come anomalia nei prodotti EDR che si concentrano su tecniche più grezze. Il malware ottiene così esecuzione automatica a ogni login.
Il modulo di esfiltrazione è ampio e mirato al profilo della vittima. Secondo il dossier di Wiz, AUDIOFIX raccoglie: credenziali da password manager, browser e iCloud Keychain; chiavi SSH; file di configurazione; estensioni wallet per criptovalute; indirizzi wallet; sessioni attive di Discord, Slack e Telegram. Oltre al furto, supporta movimento laterale, iniezione di payload aggiuntivi, esecuzione di comandi shell arbitrari, esfiltrazione di file e cancellazione selettiva. Il dominio C2 identificato è apple.driver-store[.]com: un nome che imita l'infrastruttura legittima Apple per ridurre la visibilità del traffico sospetto.
Il dato più rilevante per l'impatto aziendale è nella citazione dei ricercatori: "The used methods enabled the threat actor to move laterally from compromised employee laptops to code distribution systems and development infrastructure". La workstation dello sviluppatore non è il target finale: è il ponte.
MiniRAT e l'attacco alla supply chain npm
La componente supply chain emerge con la compromissione del pacchetto @velora-dex/sdk, un software legato a un exchange decentralizzato. La versione 9.4.1, pubblicata su npm il 7 aprile 2026, conteneva MiniRAT: una backdoor scritta in Go che secondo StepSecurity supporta upload di file, esecuzione comandi shell e download di payload aggiuntivi.
La tecnica di iniezione è ciò che rende questo vettore particolarmente insidioso. StepSecurity ha documentato: "There is no install hook involved: the payload fires on the first require() or import call". La maggior parte delle difese npm si concentra su script postinstall e hook di installazione, controllabili con flag come --ignore-scripts. Qui l'esecuzione avviene al momento dell'import del modulo nel codice applicativo, una fase successiva e molto più difficile da intercettare senza analisi statica del sorgente. StepSecurity ha misurato circa 330 millisecondi dal caricamento del modulo al tentativo di persistenza via launchctl, con il job registrato come zsh.profiler e mascherato sotto il path com.apple.Terminal.
L'IP C2 comunicato da StepSecurity per MiniRAT è 89.36.224.5. Wiz cita SafeDep e StepSecurity come fonti convergenti sulla compromissione npm, rafforzando la ricostruzione.
"These campaigns leveraged sophisticated social engineering techniques, custom macOS malware, and deep targeting of CI/CD infrastructure" — Wiz researchers Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dan, Benjamin Read
Cosa separa JINX-0164 dagli APT nordcoreani
Le somiglianze tattiche sono evidenti: ingegneria sociale a tema reclutamento, targeting crypto, malware macOS. Pattern associati a gruppi come BlueNoroff, Contagious Interview, UNC1069. Ma Wiz ha esplicitamente escluso collegamenti infrastrutturali: "Similarly, the types of spoofing domains are similar to those used by other North Korean actors; however, JINX-0164 infrastructure does not have any overlaps with other publicly tracked North Korean groups". La fonte usa persino una formula netta: "no infrastructure overlaps connecting JINX-0164 to Pyongyang at this stage".
Questo è un limite importante, non una smentita. L'assenza di sovrapposizioni tecniche non prova l'assenza di relazioni operative; prova solo che gli indicatori noti non coincidono. La fonte non fornisce attribuzione nazionale alternativa. Geolocalizzazione, struttura organizzativa, rapporto tra gli operatori di AUDIOFIX e i responsabili della compromissione npm: tutto rimane non specificato.
Perché è importante
Il brief non documenta misure correttive specifiche rilasciate da Wiz o StepSecurity. La fonte non indica patch disponibili, tool di rilevamento ufficiali, o procedure di risposta standardizzate per le vittime. Non è specificato se npm abbia rimosso il pacchetto compromesso o se esistano versioni corrette successive alla 9.4.1. Il numero esatto di vittime, il volume di fondi eventualmente rubati, e la timeline completa tra mid-2025 e maggio 2026 non sono nel dossier.
La fonte non specifica se esistano varianti Windows o Linux di AUDIOFIX, né se MiniRAT sia stato distribuito esclusivamente via npm o anche attraverso altri canali. Non è documentato se la compromissione del pacchetto @velora-dex/sdk sia stata condotta direttamente da JINX-0164 o attraverso un intermediario. Il passaggio da "movimento laterale a CI/CD" a "modifica codice sorgente in almeno un caso" è attestato, ma la scala di questa componente supply chain rimane non quantificata.
Ciò che rende il caso significativo è la concatenazione di due fenomeni già noti isolatamente ma qui combinati in sequenza operativa: l'endpoint macOS, tradizionalmente percepito come meno esposto, diventa il punto di ingresso per un attacco alla supply chain globale. Il singolo sviluppatore che accetta un meeting su LinkedIn può trasformarsi nel veicolo per avvelenare migliaia di installazioni downstream. La tecnica di import-time execution nel pacchetto npm espone un limite strutturale nei controlli attuali, che si concentrano sulla fase di installazione e trascurano il momento del caricamento runtime.
La campagna JINX-0164 non introduce vulnerabilità zero-day nel sistema operativo o nel registry npm: sfrutta fiducia, abitudini di lavoro, e architettura dei tool di sviluppo. Questo la rende più difficile da mitigare con aggiornamenti automatici, e più dipendente da verifiche di provenienza che i workflow attuali rendono costose in termini di tempo.
Il rischio non è teorico. Se la ricostruzione di Wiz è accurata, il perimetro di sicurezza delle aziende crypto si è spostato: non più solo i server, i wallet multisig, i contratti smart. La superficie d'attacco decisiva è diventata la messaggistica professionale del singolo sviluppatore, e la sua capacità di distinguere un profilo costruito ad arte da un contatto legittimo.
Fonti
- https://thehackernews.com/2026/05/jinx-0164-targets-cryptocurrency-firms.html
- https://www.darkreading.com/threat-intelligence/stealer-spoofs-google-microsoft-apple-backdoors-macos
- https://thecyberwire.com/newsletters/daily-briefing/15/101
- https://www.cve.org/CVERecord?id=CVE-2026-48172
- https://www.stepsecurity.io/blog/velora-dex-sdk-compromised-on-npm-malicious-version-drops-macos-backdoor-via-launchctl-persistence
- https://thehackernews.com/
- https://thehackernews.com/p/upcoming-hacker-news-webinars.html
- https://thehackernews.com/search/label/Threat%20Intelligence
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.