JINX-0164: Nuevo malware para macOS ataca a desarrolladores cripto

En el dinámico ecosistema de las criptomonedas y la tecnología blockchain, la seguridad de las estaciones de trabajo de los desarrolladores se ha convertido en la primera línea de defensa de las organizaciones. Históricamente, muchos profesionales de la tecnología han operado bajo la premisa de que los entornos de Apple ofrecen un escudo natural contra las intrusiones digitales. Sin embargo, el reciente descubrimiento de un nuevo actor de amenazas ha echado por tierra este mito de la inmunidad corporativa. Designado como JINX-0164, este grupo delictivo altamente sofisticado ha puesto en marcha una campaña masiva de espionaje industrial y robo financiero, utilizando un avanzado malware para macOS diseñado específicamente para infiltrar infraestructuras críticas y comprometer la cadena de suministro de software.

Identificado formalmente por el Equipo de Respuesta a Incidentes de Clientes de Wiz (Wiz CIRT), JINX-0164 ha estado operando de manera silenciosa pero devastadora desde al menos mediados de 2025. A diferencia de las bandas cibernéticas oportunistas que lanzan ataques generalizados con la esperanza de capturar cualquier víctima al azar, este grupo ejecuta una estrategia quirúrgica de múltiples fases. Su objetivo principal no es solo la sustracción inmediata de activos digitales, sino el control absoluto de los entornos de desarrollo local para, posteriormente, asaltar los sistemas de Integración y Despliegue Continuo (CI/CD) de las empresas afectadas. Este enfoque representa una evolución alarmante en las tácticas de los adversarios digitales, demostrando una comprensión profunda de las operaciones de desarrollo de software moderno.

La sofisticación del engaño: El flujo de ingeniería social en LinkedIn

El vector de entrada inicial utilizado por JINX-0164 se fundamenta en una meticulosa campaña de ingeniería social estructurada en torno a plataformas profesionales, principalmente LinkedIn. Los atacantes crean perfiles sumamente pulidos y convincentes que imitan a reclutadores de talento técnico de primer nivel, representantes de firmas de capital de riesgo o socios comerciales potenciales dentro del espacio Web3. A través de estas identidades falsas, inician conversaciones directas con ingenieros de software, arquitectos blockchain y desarrolladores clave en organizaciones del sector de criptoactivos.

Una vez que se ha establecido una relación de confianza inicial mediante intercambios de mensajes profesionales detallados, el falso reclutador invita a la víctima a una reunión virtual para discutir una oferta de trabajo altamente lucrativa o una propuesta de colaboración técnica. En lugar de utilizar plataformas de videoconferencia estándar y consolidadas, el atacante proporciona un enlace a un dominio malicioso que suplanta de forma casi perfecta la identidad de herramientas conocidas, como Microsoft Teams o Webex.

Cuando el desarrollador hace clic en el enlace e intenta unirse a la sesión virtual, el sitio web fraudulento simula un error técnico de conectividad o compatibilidad de audio. El navegador muestra un mensaje de advertencia realista que indica que el sistema operativo de la víctima carece de los controladores de sonido o las configuraciones de hardware necesarias para establecer la transmisión de voz. Para “solucionar” este inconveniente y proceder con la entrevista, el portal insta al usuario a descargar y ejecutar un parche de reparación rápida de audio en su máquina. Esta interacción, aparentemente trivial bajo la presión de una entrevista laboral inminente, marca el inicio del compromiso del sistema local.

Anatomía de la amenaza: Descifrando el malware para macOS de JINX-0164

Al aceptar la supuesta solución al problema técnico, se inicia la descarga silenciosa de un kit de herramientas maliciosas personalizado, programado en Python, que está diseñado específicamente para evadir los mecanismos de detección nativos de Apple. Este malware para macOS es compatible de forma nativa tanto con la arquitectura heredada de Intel como con el silicio de Apple (procesadores de la serie M), lo que garantiza su efectividad en cualquier modelo de MacBook o Mac Studio que utilice la víctima. El arsenal de JINX-0164 se compone de dos módulos principales altamente especializados:

1. Audiofix (AUDIODFX): El recolector silencioso de credenciales

Disfrazado hábilmente bajo el nombre de un componente legítimo del sistema de sonido, Audiofix actúa como un potente e implacable infostealer. Una vez ejecutado con privilegios locales en la máquina comprometida, inicia una fase de reconocimiento exhaustivo para extraer datos críticos del entorno local. Entre sus funciones más destructivas se encuentran las siguientes:

• Extracción del llavero de macOS (Keychain): Accede y descifra las contraseñas y certificados almacenados localmente en el llavero del sistema, lo que otorga a los atacantes acceso inmediato a cuentas personales y corporativas críticas.
• Sustracción de secretos de desarrollo: Escanea el sistema de archivos local en busca de llaves criptográficas SSH, credenciales de inicio de sesión de administrador local, consolas de historial de comandos, archivos de configuración de entornos y llaves de acceso a proveedores de infraestructura en la nube (como AWS, Google Cloud y Azure).
• Ataque sistemático a billeteras digitales: El malware está programado específicamente para identificar y extraer bases de datos y frases semilla de 51 extensiones de billeteras de criptomonedas diferentes instaladas en navegadores web basados en Chromium y Safari.
• Monitoreo continuo del portapapeles: Escucha activamente el portapapeles del sistema (clipboard) en busca de cadenas de texto que coincidan con la estructura sintáctica de direcciones de billeteras de criptomonedas, permitiendo la alteración dinámica de destinos durante transacciones financieras.
• Secuestro de sesiones de comunicación activa: Roba los tokens de sesión activos y cookies de aplicaciones de mensajería empresarial y comunitaria como Slack, Discord y Telegram, lo que permite a los atacantes suplantar la identidad de la víctima en sus canales de comunicación habituales.

2. MINIRAT: La persistencia silenciosa en la memoria

Para asegurar que el acceso al sistema comprometido no se pierda si el usuario reinicia el dispositivo o elimina archivos temporales, JINX-0164 despliega un troyano de acceso remoto (RAT) denominado MINIRAT. Este implante se caracteriza por ser una amenaza puramente fileless (sin archivos en disco), ejecutándose directamente en el espacio de memoria volátil del sistema operativo.

Al no escribir componentes ejecutables en el almacenamiento persistente, MINIRAT evita activar los escaneos de firma tradicionales de los sistemas antivirus comerciales y el software nativo Gatekeeper de Apple. A través de este canal persistente, los operadores de JINX-0164 obtienen una consola interactiva (shell access) permanente que les permite ejecutar comandos a nivel de sistema con altos privilegios, transferir archivos adicionales de forma remota y monitorear el comportamiento del usuario en tiempo real sin levantar sospechas.

De la laptop del desarrollador a la intoxicación de la cadena de suministro

La verdadera peligrosidad de JINX-0164 radica en que sus operadores no se limitan a vaciar las billeteras personales de los desarrolladores infectados. En su lugar, utilizan el acceso obtenido en las computadoras portátiles como un trampolín estratégico para perpetrar un ataque de envenenamiento de la cadena de suministro de software dentro de la organización de la víctima.

Una vez que el módulo Audiofix recolecta los tokens de acceso personal de plataformas de control de versiones como GitHub o GitLab, los atacantes despliegan una herramienta de auditoría de código abierto llamada nord-stream. Esta utilidad es utilizada por el grupo de forma maliciosa para escanear de manera sistemática la configuración de los repositorios internos y extraer variables de entorno confidenciales, certificados de firma de código e integraciones críticas de los pipelines de Integración y Despliegue Continuo (CI/CD).

Con las credenciales del pipeline en su poder, JINX-0164 procede a inyectar el código fuente de Audiofix directamente en los repositorios de software propietarios de la empresa. Para evitar que las alertas de seguridad automatizadas detecten la intrusión, los atacantes emplean técnicas de spoofing de identidad, firmando los commits maliciosos con los nombres y correos electrónicos de otros miembros legítimos del equipo de ingeniería que gozan de plena confianza dentro de la organización. Posteriormente, realizan el envío de estas modificaciones maliciosas de manera directa hacia las ramas principales (como main o ramas existentes de producción).

Este vector de ataque transforma el propio proceso de construcción de software de la empresa en un vector de propagación interna. La próxima vez que cualquier otro desarrollador o sistema de integración automatizado descargue los cambios del repositorio comprometido y ejecute una compilación (build), su máquina local resultará infectada de inmediato de forma transparente. Esto permite al grupo criminal consolidar un movimiento lateral masivo y un compromiso persistente de toda la infraestructura tecnológica de la compañía sin necesidad de realizar nuevas campañas de ingeniería social individuales.

Estrategias de mitigación y defensa proactiva

El descubrimiento de las actividades de JINX-0164 subraya la importancia de reevaluar las posturas de seguridad corporativas en entornos macOS. Para mitigar de manera efectivas el riesgo asociado con este sofisticado vector de ataque, los equipos de seguridad deben implementar de inmediato las siguientes medidas de control:

1. Restricción estricta de ejecución de código en macOS: Configurar políticas centralizadas mediante soluciones de Gestión de Dispositivos Móviles (MDM) para prohibir la ejecución de binarios que no estén firmados digitalmente o que carezcan de la notarización oficial de Apple. Adicionalmente, se deben implementar herramientas de monitoreo en tiempo real del comportamiento de procesos para detectar cualquier intento de instalación no autorizado de controladores de audio falsos o manipulaciones en el directorio de librerías del sistema.
2. Auditoría exhaustiva y protección de pipelines de CI/CD: Establecer reglas estrictas de protección de ramas que impidan la fusión de código (merges) directamente a las ramas principales sin la aprobación obligatoria de múltiples revisores independientes (peer review). Asimismo, se debe configurar la verificación estricta de firmas GPG para todos los commits entrantes, garantizando que el autor real del código sea quien dice ser y evitando el spoofing de identidad de los desarrolladores.
3. Fortalecimiento de la gestión de secretos corporativos: Limitar estrictamente el alcance y la vigencia temporal de los Tokens de Acceso Personal (PAT) de los desarrolladores en plataformas de código. Implementar soluciones automáticas de detección de fuga de secretos en tiempo real que escaneen los registros de ejecución de los pipelines y bloqueen de inmediato cualquier token que haya sido expuesto o extraído de forma anónala, garantizando un ciclo rápido de revocación y rotación de credenciales.

El caso de JINX-0164 demuestra que las amenazas dirigidas a entornos de Apple han alcanzado un nivel de madurez técnica comparable con las campañas históricas dirigidas a otros sistemas operativos tradicionales. En un mundo donde el desarrollo de software y los criptoactivos mueven miles de millones de dólares diariamente, la seguridad ya no puede depender de supuestos obsoletos de invulnerabilidad de los ecosistemas locales. Solo mediante la adopción de una arquitectura de confianza cero (Zero Trust) y una vigilancia constante sobre el ciclo de vida de desarrollo de software, las organizaciones podrán salvaguardar sus activos más valiosos frente a los adversarios digitales modernos.