Jinx-0164 e una nuova campagna di cryptojacking GPU mostrano come il settore crypto sia oggi esposto a una doppia pressione offensiva: da un lato il furto diretto di credenziali, wallet, token cloud e segreti di sviluppo attraverso social engineering su LinkedIn, malware macOS e supply chain npm; dall’altro lo sfruttamento silenzioso di workstation potenti, sistemi gaming e ambienti di sviluppo con GPU ad alte prestazioni attraverso SEO poisoning, download malevoli e raccomandazioni contaminate generate da AI chatbot. Le analisi di Wiz e Microsoft descrivono due campagne distinte ma convergenti nella logica economica: gli attaccanti non cercano più soltanto grandi volumi di infezioni generiche, ma puntano a massimizzare il rendimento per singolo dispositivo compromesso, rubando asset digitali quando colpiscono aziende crypto e trasformando sistemi con GPU libere in miner remoti quando intercettano utenti tecnici, sviluppatori o gamer. Il quadro è reso più insidioso dall’abuso di strumenti legittimi come ScreenConnect, utilità Microsoft .NET, repository GitHub, pacchetti npm, servizi cloud e canali cifrati via Dropbox o WebSockets, con tecniche evasive come DLL side-loading, process hollowing, controlli anti-VM, persistenza multipla e comunicazioni criptate. La minaccia non si limita quindi al furto di wallet o al mining abusivo, ma attraversa l’intera catena di fiducia del digitale: identità professionali, tool di sviluppo, risultati di ricerca, chatbot AI, software legittimi e infrastrutture remote di amministrazione.
Cosa leggere
Jinx-0164 usa LinkedIn per colpire sviluppatori crypto
Jinx-0164 è un gruppo finanziariamente motivato attivo da metà 2025 e specializzato nel targeting di sviluppatori, team tecnici e organizzazioni legate al settore delle criptovalute. La campagna sfrutta profili LinkedIn credibili per avvicinare le vittime con inviti a meeting virtuali falsi, spesso presentati come sessioni su Microsoft Teams o Slack. I link inviati dagli attaccanti conducono a domini malevoli come apple.driver-store[.]com, dove la vittima viene indotta a scaricare un file apparentemente necessario per partecipare alla riunione. Una volta avviato, un bash script rileva l’architettura del sistema, distinguendo tra Intel e ARM64, e installa malware travestito da driver audio coreaudiod.
Il payload principale, denominato AUDIOFIX, è scritto in Python e punta al furto di credenziali da Keychain, browser, SSH, AWS, GCP, Azure e da 51 estensioni wallet, incluse MetaMask e Phantom. Il malware agisce anche come RAT, esegue comandi shell, monitora la clipboard e intercetta dati utili per accedere a wallet, repository, ambienti cloud e account di comunicazione. Il valore dell’operazione sta nella precisione del targeting: colpendo sviluppatori crypto, Jinx-0164 può ottenere accesso diretto a chiavi private, token di deployment, credenziali cloud e canali interni come Discord, Slack e Telegram, trasformando un singolo endpoint compromesso in un punto d’ingresso verso infrastrutture finanziarie digitali ad alto valore.
AUDIOFIX e MINIRAT trasformano macOS in vettore di furto finanziario
La componente AUDIOFIX mostra come il malware per macOS stia diventando sempre più centrale nelle campagne contro il settore crypto, storicamente popolato da sviluppatori, founder e operatori finanziari che usano dispositivi Apple per attività sensibili. Il payload raccoglie credenziali da browser, portachiavi, directory cloud, configurazioni SSH e ambienti di sviluppo, ma il vero obiettivo resta l’ecosistema dei wallet e delle piattaforme di comunicazione. Il monitoraggio della clipboard consente di intercettare indirizzi wallet, seed phrase copiate, token temporanei e dati operativi scambiati durante attività quotidiane.
Accanto ad AUDIOFIX, la campagna include anche MINIRAT, una backdoor Go-based distribuita tramite il pacchetto npm compromesso @velora-dex/sdk nella versione 4.9.1. Questa seconda componente amplia la superficie dell’attacco perché sposta l’infezione dal singolo incontro falso su LinkedIn alla supply chain software, colpendo chi installa o aggiorna dipendenze durante processi di build. Il risultato è una catena offensiva capace di passare dalla compromissione individuale alla contaminazione di workflow CI/CD e repository aziendali. MINIRAT consente agli attaccanti di mantenere accesso persistente, eseguire comandi remoti e usare ambienti di sviluppo come trampolino per ulteriori compromissioni, mentre AUDIOFIX concentra la propria efficacia sul furto immediato di asset, token e credenziali ad alto valore.
Supply chain npm e manipolazione dei repository aumentano il rischio DevOps
La campagna di Jinx-0164 non si limita al social engineering su LinkedIn, ma integra una componente di supply chain attack che colpisce direttamente l’ambiente DevOps. Gli attaccanti modificano commit Git usando nome ed email falsi dello sviluppatore compromesso, iniettano codice nei repository non protetti o su branch esistenti e sfruttano la fiducia interna nei processi di collaborazione software. Il 7 aprile 2026 il gruppo ha trojanizzato il pacchetto npm @velora-dex/sdk versione 4.9.1, aggiungendo uno script shell codificato in base64 capace di scaricare MINIRAT da server controllati.
| Categoria (IoC / TTP) | JINX-0164 | SaphireSleet |
|---|---|---|
| Esca di Download | Falso Errore & Clickfix | Falso Aggiornamento SDK |
| Linguaggi del Malware | Python 3.12, Go | C/C++, AppleScript |
| Libreria Crittografica | PyCryptodome (AES-256-CBC) | wolfSSL |
| Libreria HTTP | Python requests / Go net/http | libcurl.4.dylib (collegata) |
| Dropper | Script di shell Bash | AppleScript + cascading curl | osascript |
| Persistenza | launchctl submit | LaunchDaemon in /Library/LaunchDaemons/ |
| Popup Furto Credenziali | Finestra di dialogo falsa attivata dall’attaccante (AppKit/PyObjC) | Finestra di dialogo falsa immediata (SwiftUI) con validazione |
| Esfiltrazione | API HTTPS chunked upload – API Dropbox | Upload HTTPS a IP:8443 (auth token header) – API Bot Telegram |
| Wallet Cripto Bersaglio | 5 | 19 |
| Browser Bersaglio | 10 | 3 |
| Bypass TCC | Tecnica di Overlay: Esegue osascript -e per attivare il prompt TCC per l’Automazione del Finder; utilizza un overlay trasparente + un finto avviso di “Latenza di rete” per distrarre l’utente. | Manipolazione Diretta: Modifica diretta via SQLite3 del database in ~/Library/Application Support/com.apple.TCC/TCC.db |
Analisi delle Minacce macOS: JINX-0164 predilige l’ingegneria sociale avanzata (overlay UI per ingannare i permessi TCC) e mira massicciamente ai browser web, mentre SaphireSleet opta per un approccio più “silenzioso” e tecnico, manipolando direttamente i database di sistema per aggirare le restrizioni Apple e concentrandosi pesantemente sul furto di wallet di criptovalute.
Questa tecnica permette di infettare altri endpoint durante le build, soprattutto in ambienti dove l’installazione automatizzata delle dipendenze non è accompagnata da controlli rigorosi su integrità, firme e modifiche sospette. La persistenza viene ottenuta tramite LaunchAgents mascherati da Microsoft Teams, mentre la comunicazione C2 sfrutta Dropbox con crittografia AES-256-CBC. La campagna include controlli anti-VM, anti-debugger e meccanismi di self-destruct, riducendo la probabilità di analisi in sandbox. Le somiglianze superficiali con gruppi nordcoreani non risultano però supportate da infrastrutture condivise, elemento che suggerisce un attore distinto ma capace di imitare tecniche ormai comuni nel furto crypto.
Cryptojacking GPU sfrutta SEO poisoning e raccomandazioni dei chatbot AI
Una campagna separata di cryptojacking GPU prende di mira sistemi ad alte prestazioni attraverso una catena di infezione che combina SEO poisoning, domini malevoli e raccomandazioni contaminate generate da AI chatbot. Gli attaccanti manipolano i risultati di ricerca relativi a tool molto usati da utenti tecnici e gamer, tra cui CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark e K-Lite Codec Pack. I domini su infrastruttura gleeze[.]com ospitano archivi ZIP contenenti utility legittime affiancate a DLL malevole.
Da aprile 2026, gli stessi link cominciano ad apparire anche nelle risposte di chatbot AI che suggeriscono software da scaricare, trasformando i sistemi generativi in amplificatori involontari della catena di infezione. L’utente scarica il file, avvia l’eseguibile legittimo e attiva una DLL tramite side-loading, mentre il payload installa silenziosamente ScreenConnect usando msiexec.exe e un file vcredist_x64.dll contraffatto. La campagna dimostra un salto qualitativo nel delivery: gli attaccanti non si affidano più solo al posizionamento nei motori di ricerca, ma sfruttano anche la fiducia crescente degli utenti nei suggerimenti dei chatbot. In questo modo, la contaminazione del percorso di scoperta del software diventa parte integrante dell’attacco.
ScreenConnect e process hollowing nascondono il miner sotto processi trusted
Il malware di cryptojacking GPU usa strumenti e tecniche pensati per restare sotto soglia il più a lungo possibile. Dopo l’installazione silenziosa di ScreenConnect, il loader utilizza SimpleRunPE.exe, rinominato RuntimeHost.exe o vlc.exe, per ottenere persistenza attraverso sei meccanismi diversi, tra cui task schedulati, chiavi Run e shortcut. La fase più critica riguarda il process hollowing su binari Microsoft firmati come InstallUtil.exe, RegAsm.exe o MSBuild.exe, che consente di nascondere l’esecuzione del miner sotto processi apparentemente trusted.
Il malware aggiunge inoltre esclusioni a Microsoft Defender per se stesso e per PowerShell, riducendo la visibilità delle attività malevole. Prima di procedere, controlla la presenza di circa 40 tool di analisi e ambienti virtuali, terminando l’esecuzione se rileva condizioni sospette. Il canale di comando e controllo wss://minemine.gleeze.com:8443 usa AES-128-CBC e certificate pinning, rendendo più complessa l’intercettazione del traffico. Il loader scarica e avvia miner come gminer, lolMiner o SRBMiner-MULTI solo quando rileva GPU libere, segno che l’obiettivo è evitare impatti troppo visibili sull’esperienza utente e massimizzare il rendimento computazionale senza generare allarmi immediati.
Crypto, GPU e credenziali diventano un’unica superficie economica di attacco
Le due campagne mostrano che per gli attaccanti il settore crypto non è più soltanto un insieme di wallet da svuotare, ma un ecosistema più ampio fatto di sviluppatori, repository, pipeline, workstation, GPU, account cloud e strumenti di collaborazione. Jinx-0164 causa perdite dirette rubando chiavi, credenziali wallet, sessioni Discord, Slack e Telegram, token GitHub e segreti cloud. La campagna di cryptojacking GPU, invece, monetizza l’accesso a sistemi potenti trasformandoli in miner remoti e mantenendo al tempo stesso accessi persistenti che potrebbero essere riutilizzati per furti di dati, estorsioni o ransomware. In entrambi i casi gli attaccanti sfruttano la fiducia: fiducia nei profili professionali su LinkedIn, nei pacchetti npm, nei commit Git, nei risultati di ricerca, nei chatbot AI, nei tool di diagnostica GPU e nei software legittimi usati quotidianamente. L’impatto operativo può essere significativo anche quando non avviene un furto immediato di asset digitali: il mining abusivo aumenta consumi energetici, degrada prestazioni, accelera l’usura delle GPU e sottrae risorse a workstation di sviluppo o sistemi produttivi. Per aziende crypto, exchange, fondi, startup Web3 e team DevOps, queste campagne obbligano a trattare endpoint e supply chain come componenti critici della sicurezza finanziaria.
Indicatori di compromissione e segnali da monitorare
Gli indicatori associati alle due campagne includono domini, file, pattern di persistenza e anomalie di traffico che devono essere integrati nei processi di hunting. Per Jinx-0164 emergono domini come apple.driver-store[.]com e datahub.ink, payload come AUDIOFIX e MINIRAT, il pacchetto npm @velora-dex/sdk versione 4.9.1, file di persistenza come com.microsoft.teams.coreaudiod.plist e cartelle nascoste come D3F4E2A1. Per la campagna di cryptojacking GPU risultano rilevanti domini su gleeze[.]com, l’IP 89.36.224[.]5, download sospetti di utility GPU, archivi ZIP con DLL anomale, installazioni inattese di ScreenConnect, file vcredist_x64.dll contraffatti e processi RuntimeHost.exe o vlc.exe associati a comportamenti non coerenti. Anche connessioni WebSocket verso minemine.gleeze.com:8443, esclusioni anomale in Microsoft Defender, esecuzioni sospette di InstallUtil.exe, RegAsm.exe o MSBuild.exe e presenza di miner come gminer, lolMiner e SRBMiner-MULTI devono essere trattate come segnali ad alta priorità. Le query di hunting fornite da Microsoft e Wiz aiutano a correlare eventi tra endpoint, cloud, repository e piattaforme di difesa.
Le difese immediate devono coprire LinkedIn, GitHub, npm e ricerca web
La risposta difensiva deve coprire l’intero percorso di infezione, non soltanto il malware finale. Le aziende crypto devono abilitare soluzioni EDR, monitorare commit Git non verificati, attivare GitHub Vigilant Mode, controllare dipendenze npm e scansionare repository alla ricerca di script sospetti, modifiche base64 e pacchetti alterati. I team devono bloccare domini come gleeze[.]com, verificare download di utility GPU da fonti non ufficiali, impedire l’esecuzione automatica di script non autorizzati e adottare Microsoft Defender in block mode con regole ASR più restrittive. La sincronizzazione delle password nei browser gestiti va limitata o disabilitata quando espone credenziali sensibili, mentre i segreti cloud devono essere ruotati e spostati in sistemi di secret management dedicati. Per ridurre il rischio iniziale, la formazione deve includere phishing su LinkedIn, falsi meeting Teams o Slack, download proposti da chatbot AI e risultati di ricerca sospetti. La difesa più efficace nasce dalla combinazione tra controlli tecnici e disciplina operativa: verificare l’origine del software, firmare i commit, controllare le dipendenze, limitare i privilegi degli endpoint e monitorare l’uso delle GPU come indicatore di compromissione.
Jinx-0164 e cryptojacking GPU anticipano una nuova fase del cybercrime crypto
Jinx-0164 e la campagna di cryptojacking GPU indicano una fase più matura del cybercrime orientato al settore crypto, nella quale social engineering, supply chain, AI, endpoint ad alte prestazioni e infrastrutture cloud vengono integrati in un’unica strategia economica. Gli attaccanti non dipendono più da un solo vettore, ma combinano profili professionali falsi, malware macOS, package npm compromessi, SEO poisoning, chatbot AI, DLL side-loading, process hollowing e tool legittimi di accesso remoto. Questa convergenza rende il rilevamento più difficile perché ogni componente dell’attacco può sembrare normale se osservato isolatamente: un invito su LinkedIn, un pacchetto npm, un download da ricerca web, un tool di supporto remoto, un processo Microsoft firmato, una GPU in uso. La sicurezza delle organizzazioni crypto deve quindi spostarsi da un modello reattivo a un controllo continuo della fiducia digitale, includendo identità, repository, dipendenze, endpoint, cloud e traffico di rete. La pressione economica sul settore resterà alta perché ogni credenziale rubata, ogni wallet compromesso e ogni GPU sfruttata può generare profitto immediato. In questo scenario, le campagne documentate da Wiz e Microsoft confermano che il confine tra furto finanziario e abuso computazionale è ormai sempre più sottile.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
