JINX-0164는 가짜 회의 링크를 통해 암호화폐 개발자들의 컴퓨터를 하이재킹합니다
JINX-0164라는 해커 그룹이 링크드인을 통해 암호화폐 개발자들에게 연락하여 가짜 회의를 제안한 후, 그들의 컴퓨터에 맞춤형 macOS 악성코드를 감염시키는 수법을 사용하고 있습니다.
해당 악성 소프트웨어는 로그인dent증명을 탈취하고 개발자가 소프트웨어를 빌드 및 배포하는 데 사용하는 파이프라인을 장악합니다. 클라우드 보안 회사인 Wiz는 2026년 5월 27일에 이러한 조사 결과를 발표했습니다.
가짜 회의 링크를 통해 개발자 컴퓨터에 AUDIOFIX 악성코드가 설치됩니다
위즈의dent 대응팀은 해당 그룹이 적어도 2025년 중반부터 공격에 연루되었다고 밝혔습니다.
공격자들은 합법적으로 보이는 프로필을 사용하여 링크드인에서 개발자에게 접근한 후, 업무 관련 통화를 제안하고 마이크로소프트 팀즈 또는 유사한 화상 회의 도구처럼 보이도록 만든 가짜 웹사이트 링크를 보냅니다.
AUDIOFIX는 사용자가 회의 URL이라고 생각하고 클릭한 링크를 클릭했을 때 자동으로 설치를 시작하는 macOS 바이러스입니다. 인텔 및 애플 실리콘 기반 Mac에서 작동하며, 가짜 애플 사이트에 저장된 스크립트를 통해 유포됩니다. 이 바이러스는 재부팅 후에도 계속 작동하도록 설정되어 있으며, 시스템 오디오 구성 요소인 것처럼 위장하고 HTTPS를 통해 공격자와 상호 작용합니다.
일단 시스템에 침투하면 macOS 키체인에 저장된 암호, 브라우저dent증명, SSH 키, AWS, GCP 및 Azure의 클라우드 액세스 토큰, 그리고 암호화폐 지갑 데이터를 수집합니다. 또한 Wiz는 공격자들이 직접 피싱 공격을 통해 암호를 탈취하고 암호화된 파일에 저장하는 것을 발견했습니다.

JINX-0164는 내부 코드 저장소와 개발 인프라를 공격한다는 점에서 다른 정보 탈취 악성코드와 차별화됩니다.
2026년 초에 진행된 사례 연구에서 Wiz는 공격자들이 탈취한 GitHub 토큰을 사용하여trac이라는 오픈 소스 도구로 CI/CD 파이프라인에서 비밀 정보를 nord-stream. 그런 다음 공격자들은 Git 커밋 메타데이터를 위조하고 악성 코드를 메인 브랜치에 푸시하거나 기존 브랜치를 탈취하여 합법적인 개발자를 사칭함으로써 내부 저장소에 AUDIOFIX 악성코드를 주입했습니다.
해당 악성 저장소에서 코드를 가져오고 빌드한 다른 개발자들도matic으로 감염되었습니다. 조직 자체의 개발 워크플로가 감염 확산 메커니즘이 된 것입니다. GitHub의 감시 모드(Vigilant Mode)는 검증된 GPG 서명이 없는 커밋을 표시하여 적어도 한 건의 사례에서 이러한 사칭 행위를 적발했습니다.
해당 그룹은 공개 npm 패키지에 대한 공급망 공격도 실행한 것으로 확인되었습니다. 2026년 4월 7일, JINX-0164는 @velora-dex/sdk 버전 4.9.1에 트로이목마를 심어 base64로 인코딩된 명령어를 삽입했습니다. 이 명령어는 MINIRAT을 배포하는 원격 스크립트를 가져와 실행했습니다. MINIRAT은 지속성 확보와 원격 명령어 실행에 초점을 맞춘 Go 기반의 경량 백도어입니다.
공격자들이 암호화폐 개발자들의 cash 과 코드를 노리고 있습니다
AUDIOFIX와 MINIRAT는 datahub[.]ink, cloud-sync[.]online, byte-io[.]us와 같은 명령 및 제어 도메인을 공유합니다. 공격자는 실제 위치를 숨기기 위해 Mullvad VPN, Astrill VPN, ExpressVPN을 통해 활동을 라우팅합니다.
Wiz는 JINX-0164가 북한의 위협 집단인 UNC1069 및 Sapphire Sleet과 전술적으로 유사한 점이 있음을 발견했지만, 직접적인 기반 시설 중복은 발견하지 못했습니다. Wiz는 JINX-0164를 금전적 동기를 가진 별개의 위협 행위자로 규정하고 있습니다.
5월, 해커들이 공식 Mistral AI 파이썬 라이브러리를 포함하여 170개 이상의 npm 및 PyPI 패키지를 해킹했습니다. 이 공격으로 암호화 및 AI 개발자들이 소유한 GitHub 토큰과 클라우드 자격dent이 노출되었습니다. 또한, 악성 패키지가 유효한 SLSA 빌드 레벨 3 출처 증명을 포함하고 있는 최초의 사례로, 빌드 무결성을 검증하기 위한 암호화 신뢰 모델을 무너뜨렸습니다.
암호화폐 및 AI 개발자 해킹은 일반적으로 cash 과 가치 있는 코드 탈취로 이어집니다. 암호화폐 연구소/기업은 사이버 보안 조치를 강화하고 CI/CD 파이프라인에 무단 접근이나 악의적인 활동이 있는지 점검해야 합니다. 승인되지 않은 GitHub 활동, 검증되지 않은 서명이 포함된 커밋, 비정상적인 VPN 연결 등은 모두 경고 신호입니다. LinkedIn을 통해 전달된 회의에 참석한 개발자는 컴퓨터에 바이러스 검사를 실시해야 합니다.
암호화폐 뉴스를 단순히 읽는 데 그치지 마세요. 이해하세요. 저희 뉴스레터를 구독하세요. 무료입니다.









코멘트 (0)
$ 버튼을 클릭하고, 종목 코드를 입력한 후 주식, ETF 또는 기타 티커를 연결합니다.