黑客组织通过虚假会议链接对加密货币开发者植入恶意软件
一个名为JINX-0164的黑客组织通过领英平台联系加密货币开发者,邀请其参加虚假线上会议,进而向开发者设备植入定制化的macOS恶意程序。该恶意软件会窃取登录凭证并劫持开发者用于构建和部署软件的代码流水线。
虚假会议链接传播AUDIOFIX恶意程序
攻击者使用伪装成合法身份的领英账号联系开发者,提议进行商务通话,并发送仿冒微软Teams等视频会议工具的虚假网站链接。当受害者点击该伪装成会议链接的网址时,macOS病毒AUDIOFIX便会静默安装。该病毒同时支持英特尔和苹果芯片架构的Mac设备,通过存储在假冒苹果网站的脚本进行分发,能够实现重启后持续运行,并伪装成系统音频组件通过HTTPS协议与攻击者通信。
一旦植入成功,该程序会收集macOS钥匙串中的保存密码、浏览器凭证、SSH密钥、AWS/GCP/Azure云平台访问令牌以及加密钱包数据。此外,安全团队发现攻击者还直接进行密码钓鱼,并将窃取信息存储在编码文件中。
针对代码仓库与开发基础设施的渗透
JINX-0164区别于普通信息窃取程序的特点在于其专门攻击内部代码仓库与开发基础设施。根据记录,攻击者曾利用窃取的GitHub令牌,通过开源工具nord-stream从CI/CD流水线提取密钥,随后将AUDIOFIX恶意代码注入内部仓库。他们通过伪造Git提交元数据冒充合法开发者,将恶意代码推送至主分支或劫持现有分支。
其他开发者拉取这些受污染的代码库并构建时便会自动感染,使得受害组织的开发工作流成为恶意软件的分发渠道。GitHub的Vigilant模式曾通过检测未经验证的GPG签名成功拦截至少一次此类伪装行为。
该组织还实施过针对公共npm软件包的供应链攻击。2026年4月7日,JINX-0164将恶意代码植入@velora-dex/sdk的4.9.1版本,注入经过base64编码的指令以下载并执行部署MINIRAT后门的远程脚本。该后门采用Go语言编写,专注于实现持久化驻留与远程命令执行。
攻击者的目标与活动特征
AUDIOFIX与MINIRAT使用相同的命令控制域名。攻击者通过多个商业VPN服务隐藏真实位置。研究人员发现其战术与某些威胁组织存在相似性,但确认JINX-0164是具有独立基础设施且以经济利益为驱动的威胁实体。
近期软件包仓库的大规模攻击事件显示,加密货币与人工智能开发者持有的GitHub令牌和云凭证已成为重点目标。值得注意的是,部分恶意软件包甚至携带有效的SLSA三级构建证明,破坏了用于验证构建完整性的加密信任模型。
针对加密货币与AI开发者的攻击通常以窃取资金与高价值代码为目标。相关实验室与企业应强化网络安全措施,审查CI/CD流水线是否存在未授权访问或恶意活动。未经授权的GitHub操作、未验证签名的代码提交以及异常的VPN连接均应视为预警信号。曾通过领英会议链接参会的开发者建议立即进行系统安全扫描。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注