Дослідники хмарної безпеки з компанії Wiz виявили діяльність нової фінансово вмотивованої хакерської групи, яка отримала умовне позначення JINX-0164. Зловмисники фокусують свої зусилля на розробниках програмного забезпечення та працівниках криптовалютних організацій з метою прямого викрадення цифрових активів та токенів. Свою активність угруповання веде щонайменше з середини 2025 року, використовуючи ретельно продумані методи соціальної інженерії – психологічного маніпулювання людьми для отримання доступу до конфіденційних систем. Зловмисники створюють переконливі профілі у професійній мережі LinkedIn, де видають себе за менеджерів з підбору персоналу та пропонують жертвам привабливі вакансії. Після короткого спілкування вони запрошують кандидата на онлайн-співбесіду, надсилаючи посилання на підроблені сайти, які імітують відомі платформи для відеоконференцій.

Технічна частина інциденту розгортається, коли жертва намагається підключитися до дзвінка. Сайт відображає помилку з’єднання та пропонує завантажити спеціальну програму-виправлення, яка насправді є шкідливим сценарієм. Цей скрипт визначає архітектуру процесора комп’ютерів Apple Mac (Intel або Apple Silicon) та встановлює вірус AUDIOFIX, написаний на мові Python, який маскується під офіційний аудіодрайвер системи та закріплюється в автозавантаженні за допомогою інструменту launchctl. Вірус здатний викрадати паролі з браузерів, менеджерів паролів, зв’язки ключів iCloud Keychain, ключі доступу SSH, дані криптовалютних гаманців, а також активні сесії у Slack, Telegram та Discord. Окрім цього, хакери реалізували атаку на ланцюг постачання, впровадивши аналогічний вірус MiniRAT, написаний на мові Go, у легітимну бібліотеку для розробників @velora-dex/sdk, яка використовується в децентралізованих фінансових біржах. Це дозволило зловмисникам проникати з приватних ноутбуків працівників безпосередньо у внутрішню інфраструктуру розробки та змінювати вихідний код фінансових платформ.