Por Angel Di Matteo 𝕏 @shadowargelInvestigadores de Wiz alertaron sobre una campaña atribuida al grupo JINX-0164, que utiliza perfiles falsos en LinkedIn y reuniones virtuales fraudulentas para infectar equipos de desarrolladores con malware especializado en el robo de credenciales, acceso a repositorios de código y compromisos de la cadena de suministro de software.
***
- Los atacantes se hacen pasar por reclutadores o socios comerciales para atraer a desarrolladores a reuniones falsas que instalan malware en macOS.
- La herramienta AUDIOFIX roba contraseñas, claves SSH, tokens cloud y datos de billeteras cripto, además de permitir el acceso a repositorios de código y sistemas de despliegue.
- Wiz documentó ataques contra desarrolladores vinculados al ecosistema cripto y halló evidencia de compromisos en paquetes npm y procesos CI/CD corporativos.
⚠️ Alerta de seguridad en el ecosistema cripto ⚠️
Investigadores de Wiz detectan un malware, AUDIOFIX, que se instala a través de reuniones falsas en LinkedIn.
Creado por el grupo JINX-0164, busca robar credenciales de desarrolladores y comprometer infraestructuras de software.… pic.twitter.com/q0FZIrwQzM
— Diario฿itcoin (@DiarioBitcoin) June 6, 2026
Un grupo de atacantes identificado como JINX-0164 ha estado utilizando LinkedIn como vector principal para comprometer a desarrolladores de criptomonedas y empresas tecnológicas. Según un informe publicado por la firma de seguridad cloud Wiz, reseñado por Cryptopolitan, la campaña lleva activa al menos desde mediados de 2025 y combina técnicas de ingeniería social con malware diseñado específicamente para infiltrarse en entornos de desarrollo de software.
Los atacantes crean perfiles que aparentan pertenecer a reclutadores, inversionistas o potenciales socios comerciales. Tras establecer una conversación con la víctima, proponen una videollamada y envían enlaces a sitios web falsificados que imitan plataformas populares como Microsoft Teams u otras aplicaciones de videoconferencia. La víctima cree estar accediendo a una reunión legítima, cuando en realidad inicia la descarga e instalación de un malware especializado para macOS.
AUDIOFIX: una amenaza diseñada para desarrolladores
La herramienta principal utilizada en la campaña recibe el nombre de AUDIOFIX. De acuerdo con Wiz, el malware funciona tanto en equipos Mac con procesadores Intel como Apple Silicon y se distribuye mediante scripts alojados en dominios que imitan servicios legítimos de Apple.
Una vez instalado, AUDIOFIX establece mecanismos de persistencia para sobrevivir reinicios del sistema y se presenta como un componente relacionado con funciones de audio. Sin embargo, su verdadero propósito es recolectar información sensible del dispositivo comprometido y comunicarse con los operadores mediante conexiones HTTPS cifradas.
Entre los datos objetivo se encuentran contraseñas almacenadas en el llavero de macOS, credenciales guardadas en navegadores, claves SSH, tokens de acceso a servicios cloud como AWS, Google Cloud y Azure, así como información vinculada a billeteras de criptomonedas. Los investigadores también descubrieron que el grupo complementaba la infección con campañas de phishing dirigidas para obtener credenciales adicionales que posteriormente almacenaban de forma codificada.
El objetivo real: repositorios y cadenas de suministro
Lo que diferencia a JINX-0164 de otros grupos dedicados al robo de información es su interés por comprometer infraestructuras de desarrollo de software. Según Wiz, los atacantes buscan específicamente acceder a repositorios internos, sistemas de integración continua (CI/CD) y herramientas utilizadas para construir y desplegar aplicaciones.
Una vez obtenían acceso a GitHub y a los entornos de desarrollo corporativos, los atacantes podían ir mucho más allá del simple robo de credenciales. En varios incidentes documentados, utilizaron tokens comprometidos para extraer secretos almacenados en pipelines automatizados y posteriormente insertar versiones maliciosas de AUDIOFIX dentro de repositorios internos.
Para ocultar sus actividades, falsificaban metadatos de Git y se hacían pasar por desarrolladores legítimos, enviando cambios maliciosos directamente a ramas principales de los proyectos. El resultado era especialmente peligroso: cualquier programador que descargara o compilara el código comprometido podía terminar infectando su propio equipo sin sospecharlo. En la práctica, la infraestructura de desarrollo de la organización se convertía en el mecanismo de propagación del malware.
GitHub Vigilant Mode logró detectar algunas de estas actividades al identificar commits sin firmas criptográficas verificadas, proporcionando una de las pocas señales tempranas de que los repositorios habían sido manipulados.
Ataques contra npm y ecosistemas cripto
Los investigadores también vincularon a JINX-0164 con un ataque confirmado contra el paquete npm @velora-dex/sdk. El 7 de abril de 2026, los atacantes introdujeron código malicioso oculto en la versión 4.9.1 del paquete, incorporando comandos codificados en Base64 capaces de descargar e instalar una segunda herramienta denominada MINIRAT.
MINIRAT es una puerta trasera ligera desarrollada en Go que permite persistencia en el sistema, ejecución remota de comandos y control continuo del equipo comprometido. Según Wiz, tanto AUDIOFIX como MINIRAT comparten infraestructura de comando y control, incluyendo dominios como datahub[.]ink, cloud-sync[.]online y byte-io[.]us.
Para dificultar la atribución, los operadores utilizan servicios VPN como Mullvad, Astrill y ExpressVPN para ocultar su ubicación real. Aunque los investigadores identificaron ciertas similitudes tácticas con grupos vinculados a Corea del Norte, incluyendo UNC1069 y Sapphire Sleet, no encontraron evidencia suficiente para atribuir directamente la campaña a esos actores.
Una amenaza creciente para desarrolladores de IA y criptomonedas
El informe llega en un momento especialmente delicado para la industria. Durante mayo, investigadores de seguridad documentaron ataques separados que comprometieron más de 170 paquetes npm y PyPI, incluyendo la biblioteca oficial de Python de Mistral AI. Aquellos incidentes expusieron tokens de GitHub, credenciales cloud y secretos pertenecientes a desarrolladores de empresas vinculadas tanto al sector cripto como a la inteligencia artificial.
Para Wiz, el atractivo de estos objetivos es evidente. Comprometer a un desarrollador puede proporcionar acceso simultáneo a código fuente, infraestructura de producción, billeteras digitales y secretos corporativos de alto valor económico. Por ello, la firma recomienda revisar repositorios en busca de commits sospechosos, habilitar autenticación multifactor en GitHub y npm, monitorear accesos desde VPN inusuales y analizar cualquier equipo cuyos usuarios hayan participado recientemente en reuniones iniciadas a través de contactos desconoccidos en LinkedIn.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
Legisladores de EE. UU. aumentan apuestas en IA, Bitcoin y tecnológicas mientras discuten su regulación
Criptomonedas
Movimiento de Joseph Lubin con ETH reaviva temores de venta en plena caída de precio en Ethereum
Criptomonedas
Arthur Hayes afirma que liquidó su posición en Worldcoin tras abandonar ciertas altcoins
Análisis de mercado