JINX-0164 Targets Cryptocurrency Firms with Fake Recruiter Lures and macOS Malware

1 minute de lecture

Mis à jour : May 28, 2026

Campagne d’espionnage JINX-0164 : Menace sur les entreprises de cryptomonnaies

Le groupe de menace JINX-0164 orchestre une campagne sophistiquée ciblant spécifiquement les développeurs et les entreprises de cryptomonnaies via l’ingénierie sociale et des malwares macOS personnalisés. L’objectif est le vol d’actifs numériques, d’identifiants et l’infiltration des infrastructures de développement (CI/CD).

Points clés :

Mode opératoire : Utilisation de profils LinkedIn crédibles pour proposer des réunions virtuelles, redirigeant les victimes vers des domaines malveillants usurpant des outils de visioconférence.
Infiltration : Une fois le fichier “correctif” téléchargé, un script bash installe des malwares (AUDIOFIX et MiniRAT) persistant sur le système via launchctl.
Impact : Vol massif de données sensibles (clés SSH, identifiants, portefeuilles crypto, sessions Slack/Discord/Telegram) et injection de code malveillant dans les systèmes de distribution de logiciels (attaques de type “supply chain”).
Outils :
- AUDIOFIX : Infostealer et RAT basé sur Python.
- MiniRAT : Backdoor en Go, précédemment distribuée via le package NPM compromis @velora-dex/sdk.

Vulnérabilités :

Aucune CVE spécifique mentionnée, l’attaque repose sur l’exploitation de la confiance humaine (ingénierie sociale) et l’exécution de binaires malveillants par l’utilisateur.

Recommandations :

Vigilance recrutement : Mener une vérification rigoureuse des recruteurs et éviter de télécharger des fichiers ou des “correctifs” fournis lors d’entretiens.
Protection des terminaux : Surveiller les processus suspects (comme coreaudiod ou ChromeUpdater malveillants) et l’utilisation de launchctl pour la persistance.
Sécurité CI/CD : Auditer régulièrement les dépendances logicielles (comme les packages NPM) et restreindre les accès aux infrastructures de déploiement.
Gestion des accès : Implémenter l’authentification multifacteur (MFA) pour tous les comptes sensibles et surveiller l’usage des clés SSH et des jetons d’API.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

JINX-0164 Targets Cryptocurrency Firms with Fake Recruiter Lures and macOS Malware

Campagne d’espionnage JINX-0164 : Menace sur les entreprises de cryptomonnaies

Partager sur

Vous pourriez aimer

PAN-OS GlobalProtect Authentication Bypass (CVE-2026-0257) Under Active Exploitation

Exploitation active de la faille d’authentification GlobalProtect (PAN-OS)

Palo Alto GlobalProtect VPN auth bypass flaw now exploited in attacks

Exploitation active de la faille critique dans Palo Alto GlobalProtect

New CIFSwitch Linux flaw gives root on multiple distributions

Vulnérabilité CIFSwitch : Élévation de privilèges dans le noyau Linux

Friday Squid Blogging: Another Squid

Veille de sécurité : Persistance et compromission au niveau du BIOS