La minaccia informatica JINX-0164 sta prendendo di mira aziende del settore criptovalute con un obiettivo chiaro: il furto di asset digitali attraverso social engineering a tema recruiting e malware per macOS sviluppato su misura. Il gruppo risulta attivo almeno dalla metà del 2025 e agisce con motivazione economica, concentrandosi soprattutto su sviluppatori e ambienti di sviluppo, dove un singolo endpoint compromesso può diventare il punto di ingresso verso sistemi molto più critici.
La catena di attacco inizia con un contatto credibile da parte di un falso recruiter che propone un colloquio o una riunione virtuale. La vittima riceve un invito che la indirizza verso un dominio malevolo costruito per imitare un servizio di videoconferenza. Qui entra in gioco l’inganno principale: viene richiesto di scaricare e avviare un file presentato come client della riunione. In realtà il file avvia uno script bash ospitato su un dominio fasullo che simula uno store di driver Apple, e da lì scarica un payload compatibile sia con sistemi Intel sia con Apple Silicon.
Il payload si maschera come componente di sistema legato all’audio, usando nomi e percorsi progettati per ridurre i sospetti. Viene salvato con un nome che richiama aggiornamenti legittimi e avviato tramite launchctl, ottenendo persistenza. A questo punto viene distribuito AUDIOFIX, un infostealer e remote access trojan basato su Python, pensato per sottrarre dati sensibili e abilitare controllo remoto.
Tra le informazioni rubate figurano credenziali da password manager, browser e iCloud Keychain, privilegi amministrativi locali, chiavi SSH, file di configurazione e cronologia console. Il malware mira anche a dati legati alle criptovalute, come estensioni del browser, indirizzi wallet e sessioni attive su Discord, Slack e Telegram, utili per ulteriori compromissioni.
Un aspetto critico è il movimento laterale: dal Mac dell’impiegato il gruppo tenta di raggiungere infrastrutture interne come sistemi di distribuzione del codice e ambienti di sviluppo, arrivando a modificare sorgenti per colpire altri endpoint e sottrarre credenziali di wallet. AUDIOFIX supporta inoltre comandi per ricognizione manuale, esfiltrazione, esecuzione di comandi shell, cancellazione file e download di ulteriori payload.
Nell’arsenale è stato osservato anche MiniRAT, backdoor in Go, diffusa in un caso tramite una versione compromessa di un pacchetto npm usato in ambito DeFi, evidenziando rischi concreti di supply chain attack per chi sviluppa software legato alle criptovalute.