كشفت شركة Wiz للأمن السحابي، التابعة لجوجل، عن حملة جديدة يقودها فاعل تهديد غير موثق سابقاً تحت اسم JINX-0164، تستهدف شركات العملات الرقمية عبر أساليب توظيف وهمية وبرمجيات خبيثة مصممة خصيصاً لنظام macOS. بدأت أنشطة هذه المجموعة منذ منتصف عام 2025 على الأقل، ويبدو أن دافعها الأساسي هو تحقيق مكاسب مالية من خلال سرقة الأصول الرقمية.
اعتمدت الحملة على إنشاء ملفات شخصية مقنعة على LinkedIn للتواصل مع المطورين والمهندسين، ودعوتهم لاجتماعات افتراضية عبر روابط مزيفة تحاكي منصات مؤتمرات الفيديو. بمجرد قبول الدعوة، يتم توجيه الضحية لتحميل ملف تنفيذي خبيث يتظاهر بأنه برنامج الاجتماع، ليبدأ بعدها تسلسل الهجوم.
برمجية AUDIOFIX: أداة خبيثة متعددة الوظائف
الملف المزيف يقود إلى تنزيل برمجية خبيثة مكتوبة بلغة Python تحمل اسم AUDIOFIX، عبر سكربت bash مستضاف على نطاق مزيف يشبه متجر تعريفات آبل. هذه البرمجية تعمل كـ Infostealer وRemote Access Trojan، وتستهدف أنظمة Intel وApple Silicon على حد سواء.
تتنكر البرمجية في صورة تعريف صوتي باسم coreaudiod، وتُحفظ تحت اسم ChromeUpdater ليتم تشغيلها عبر خدمة النظام launchctl. بعد التثبيت، تبدأ AUDIOFIX بجمع بيانات حساسة مثل كلمات المرور المخزنة في مديري كلمات المرور والمتصفحات، مفاتيح SSH، بيانات iCloud Keychain، عناوين محافظ العملات الرقمية، بالإضافة إلى جلسات نشطة على منصات مثل Discord وSlack وTelegram.
كما تدعم البرمجية أوامر إضافية مثل تنفيذ تعليمات شل عشوائية، حذف الملفات، واسترجاع حمولة إضافية من خوادم المهاجمين، ما يمنحهم سيطرة كاملة على الأجهزة المستهدفة.
استهداف المطورين وسلاسل التوريد
لم تقتصر الحملة على خدع التوظيف، بل امتدت إلى هجمات على سلاسل التوريد. فقد استخدم المهاجمون برمجية MiniRAT المبنية بلغة Go، والتي تم توزيعها عبر نسخة ملوثة من حزمة npm شرعية باسم @velora-dex/sdk، وهي أداة مستخدمة في منصات DeFi مثل VeloraDEX.
النسخة الملوثة كانت تقوم بتنزيل سكربت من خادم بعيد، ليقوم بدوره بتثبيت نسخة خبيثة من MiniRAT على أنظمة macOS. هذه البرمجية مجهزة لرفع الملفات، تنفيذ أوامر شل، وجلب أدوات إضافية من نطاقات يسيطر عليها المهاجمون، ما يجعلها أداة فعالة للتجسس والتحكم عن بعد.
خلفيات ودلالات أمنية
رغم أن بعض أساليب JINX-0164 تشبه حملات مجموعات كورية شمالية مثل BlueNoroff وContagious Interview، إلا أن شركة Wiz أكدت عدم وجود أي تطابق في البنية التحتية بين هذه المجموعة والجهات المعروفة المرتبطة ببيونغ يانغ.
اللافت أن المهاجمين يستغلون البنية التحتية للمطورين، بما في ذلك أنظمة CI/CD، للانتقال من أجهزة الموظفين المخترقة إلى أنظمة توزيع الشيفرات، ما يفتح الباب أمام هجمات واسعة النطاق قد تؤثر على آلاف المستخدمين النهائيين.
هذا النوع من الحملات يعكس تطوراً خطيراً في مشهد التهديدات السيبرانية، حيث لم يعد المهاجمون يعتمدون على رسائل البريد التقليدية فقط، بل باتوا يوظفون منصات شرعية وأساليب اجتماعية متقدمة لزرع برمجيات خبيثة تستهدف بشكل مباشر قطاع العملات الرقمية والمطورين العاملين فيه.
