JINX-0164: malware macOS vía falsas ofertas de trabajo crypto

Qué pasa

JINX-0164 es un actor de amenaza nuevo — sin historial previo documentado — descubierto por el equipo de Wiz (investigadoras Shira Ayal y equipo) atacando empresas del sector cripto. La campaña usa *lures de reclutamiento*: contacto por LinkedIn u otras plataformas fingiendo ser recruiter, seguido de una prueba técnica que en realidad ejecuta malware.

La carga útil es malware custom para macOS — no un RAT (troyano de acceso remoto genérico) de repositorio público. Está diseñado específicamente para este target: desarrolladores crypto que trabajan en Mac. Los atacantes conocen el stack de sus víctimas.

El detalle más relevante es el targeting de infraestructura CI/CD (sistemas de integración y despliegue continuo — donde el código pasa de repositorio a producción). Comprometer ese punto permite inyectar código en releases, robar claves de firma, o acceder a wallets calientes conectadas al pipeline de despliegue.

Por qué importa

Las fake recruiter lures no son una técnica nueva. El grupo Lazarus (APT (grupo de hackers patrocinado por un país) vinculado a Corea del Norte) lleva años ejecutando *Operation Dream Job* con el mismo patrón. Que aparezca un actor nuevo —JINX-0164— usando el mismo playbook confirma que la técnica convierte. La diferencia aquí es el payload nativo para macOS y el targeting quirúrgico de CI/CD.

Muchos equipos mid-size de crypto tienen pipelines con acceso directo a wallets para automatizar el despliegue de contratos inteligentes. Un compromiso en CI/CD no roba un wallet: roba la fábrica de wallets. Signing keys, credenciales de hot wallets, scripts de despliegue — todo vive en ese pipeline.

El malware específico para macOS también rompe un sesgo peligroso: los devs de crypto suelen asumir que "el malware serio es problema de Windows". JINX-0164 explota exactamente esa asunción.

Qué hacer

• Desarrolladores: si un recruiter te pide clonar un repo y ejecutar algo localmente como parte del proceso de selección, es la señal de alarma. No ejecutes código de entrevistas técnicas en tu máquina de trabajo — usa una VM aislada o recházalo.
• Equipos de seguridad / SOC (centro de operaciones de seguridad — el equipo que monitoriza amenazas en tiempo real): audita los accesos a tu pipeline CI/CD ahora. Quién tiene write access, qué secretos están expuestos como variables de entorno, qué runners tienen acceso a wallets o signing keys.
• Habilita MFA en todas las cuentas de CI/CD (GitHub Actions, GitLab CI, CircleCI, Jenkins).
• Revisa logs de runners en busca de procesos inesperados o conexiones salientes anómalas.
• Despliega EDR (software de detección y respuesta en endpoints — antivirus de siguiente generación) con cobertura macOS en todos los equipos de ingeniería, no solo en Windows.

Wiz publicó IOC (huellas técnicas que delatan el ataque) frescos junto al análisis. Búscalos en tus logs antes de que JINX-0164 rote su infraestructura — lo harán ahora que tienen nombre.