اختراق يبدأ بعرض وظيفي: مجموعة JINX 0164 تستخدم شخصيات وهمية لمسؤولي توظيف على LinkedIn لاستهداف مطوري العملات الرقمية، وتدفعهم إلى تحميل برمجيات خبيثة متخفية في شكل اختبارات برمجة. حصان طروادة داخل كود برمجي: حزمة @velora dex/sdk على منصة npm تم تخريبها لتنفيذ برمجية MINIRAT فور استيرادها، مما يمنح المخترقين بابًا...

Create a landscape editorial hero image for this Studio Global article: What is the newly disclosed threat actor JINX-0164, as identified by Wiz in May 2026, including its targeting of cryptocurrency organization. Article summary: Here is the full picture of JINX-0164 based on Wiz's May 2026 disclosure and corroborating security research.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "This article lists selected threat actors tracked by Palo Alto Networks Unit 42, using our specific designators for these groups. The information presented here is a list of threat" source context "Threat Actor Groups Tracked by Palo Alto Networks Unit 42 ..." Reference image 2: visual subject "# Threat Actors Merging Malicious Activity With Cryptocurrency Show How the Attack Landscape is Developing in Decentralized Finan
في مايو 2026، كشفت شركة الأمن السحابي Wiz عن فاعل تهديد جديد وذي دوافع مالية أطلقت عليه اسم JINX-0164. هذه المجموعة تستهدف بشكل منهجي مؤسسات العملات الرقمية والـ Web3 عبر سلسلة هجوم متعددة المراحل، تجمع بين خداع اجتماعي معقد، وبرمجيات خبيثة مخصصة لنظام macOS، واختراق متطور لسلسلة التوريد البرمجي. الهدف النهائي هو سرقة الأصول الرقمية، لكن الأساليب المستخدمة تسمح لهم بالوصول إلى أعماق بيئات تطوير البرمجيات وأنظمة CI/CD (التكامل المستمر والنشر المستمر) مما يُضاعف الضرر .
إليكم شرح مفصل لكيفية حدوث الهجوم، والأدوات المخصصة التي يستخدمها، ولماذا يُعتبر علامة تحذيرية خطيرة في عالم التهديدات السيبرانية.
لا تخترق JINX-0164 الشبكات عبر استغلال ثغرات في جدران الحماية أو رشّ كلمات المرور. بدلاً من ذلك، يقوم مشغّلوها ببناء شخصيات وهمية ومقنعة لمسؤولي توظيف على منصة LinkedIn لاستهداف المطورين العاملين في شركات العملات الرقمية والـ Web3 .
عملية الخداع الاجتماعي هنا ليست عشوائية، بل مُصممة بعناية لتبدو حقيقية. يتم التواصل مع الضحايا من خلال عروض عمل مغرية أو فرص شراكة مربحة. بمجرد بناء حوار وعلاقة ثقة، يُطلب من الهدف تحميل وتشغيل ملف يبدو وكأنه "اختبار برمجة" أو "أداة مؤتمرات فيديو". بمجرد تشغيل هذا الملف، تبدأ عملية الاختراق .
بعد أن يُشغّل الضحية الطُعم الأولي، تقوم JINX-0164 بتسليم حمولات خبيثة مخصصة لنظام macOS. حددت Wiz مكونين خبيثين رئيسيين تم استخدامهما في هذه الحملة.
AUDIOFIX هو برنامج خبيث (Infostealer) مكتوب بلغة بايثون ومُصمم خصيصًا لنظام macOS. يتم تسليمه عبر إغراءات الهندسة الاجتماعية السابقة . وظيفته الأساسية هي البحث عن بيانات محافظ العملات الرقمية، والمفاتيح الخاصة (Private Keys)، وأي أسرار برمجية أخرى يخزنها المطور على جهازه، ومن ثم تسريبها إلى خوادم المهاجمين
.
MINIRAT هو برنامج خبيث متكامل من نوع حصان طروادة للوصول عن بعد (RAT) مكتوب بلغة Go ومُخصص لنظام macOS. يوفر للمهاجمين "بابًا خلفيًا" ثابتًا للتحكم بالجهاز المصاب. من بين قدراته الخطيرة: تنفيذ أوامر الشل (Shell Commands) التعسفية، وسرقة الملفات، وتحميل وتشغيل حمولات خبيثة إضافية .
يستخدم هذا البرنامج الخبيث عدة تقنيات تسلل وتخفي:
com.apple.Terminal.profiler). هذا يضمن إعادة تشغيل البرنامج الخبيث كل مرة يُسجل فيها المستخدم الدخول إلى جهازه أحد أخطر نواقل الهجوم التي استخدمها MINIRAT هو هجوم "سلسلة توريد" (Supply Chain Attack) على مستوى سجل الحزم البرمجية. في 7 أبريل 2026، قام المخترقون بنشر نسخة خبيثة (v9.4.1) من الحزمة الشرعية @velora-dex/sdk على منصة npm، وهي المنصة الأشهر لمشاركة الأكواد البرمجية في بيئة Node.js .
الخطير في هذا الهجوم هو أسلوبه الخفي. بدلاً من الاعتماد على "سكريبتات تثبيت" (Install Scripts) أو أوامر مشبوهة بعد التثبيت (Post-install Hooks) التي غالبًا ما تلتقطها أدوات الأمان، قام المخترقون بحقن ثلاثة أسطر فقط من التعليمات البرمجية الخبيثة مباشرة في ملف dist/index.js. هذا يعني أن الكود الخبيث ينفذ فورًا في اللحظة التي يقوم فيها أي مطور باستخدام الأمر ()require أو import لاستدعاء الحزمة المخترقة داخل مشروعه .
يقوم هذا الكود بجلب "سكريبت شل" عن بُعد، والذي بدوره يقوم بتحميل وتثبيت برمجية MINIRAT الخبيثة على نظام macOS باستخدام تقنية وكيل التشغيل التي تحدثنا عنها . وبما أن الحزمة بدت وكأنها مجموعة أدوات مفيدة لمشاريع التمويل اللامركزي (DeFi)، فقد تحولت إلى "حصان طروادة" فعال للغاية لاستهداف المطورين في مجال العملات الرقمية.
طموح JINX-0164 لا يتوقف عند أجهزة المطورين الفردية. تفيد تقارير Wiz أنه بعد السيطرة على حاسوب الضحية، يتحرك المخترق بشكل جانبي لاختراق أنظمة CI/CD والبنية التحتية الأوسع لتطوير البرمجيات .
هذه المرحلة من الهجوم بالغة الخطورة لأنها تحوّل اختراق حاسوب واحد إلى خطر يُهدد دورة حياة تسليم البرمجيات بالكامل. من خلال الوصول إلى أنظمة البناء والتجميع (Build Systems) ومستودعات الأكواد البرمجية (Code Repositories)، يمكن للمخترق حقن تغييرات خبيثة في تطبيقات داخلية موثوقة أو حتى في إصدارات رسمية تُوزع للعملاء، مما يُضاعف حجم الاختراق بشكل كارثي .
لم يتجاهل مجتمع استخبارات التهديدات الأساليب المألوفة المعروضة هنا. فالملامح التشغيلية لـ JINX-0164 تتطابق بشكل كبير مع حملات طالما نُسبت إلى مجموعات مدعومة من الدولة الكورية الشمالية، وعلى رأسها مجموعة "لازاروس" (Lazarus Group)، التي تُعرف أيضًا بأسماء مثل AppleJeus أو Contagious Interview أو DeceptiveDevelopment. الحمض النووي المشترك يتضمن إغراءات وظيفية وهمية على LinkedIn، واستهداف مطوري العملات الرقمية، وتركيز متواصل على برمجيات خبيثة مخصصة لنظام macOS .
شركة ESET، على سبيل المثال، وثّقت سابقًا مجموعات مرتبطة بكوريا الشمالية تستخدم نفس كتيب اللعب تقريبًا لسرقة العملات الرقمية والهندسة الاجتماعية ضد المطورين المستقلين على أنظمة Windows و Linux و macOS . ورغم هذا التداخل التكتيكي القوي، إلا أن تقرير Wiz الرسمي توقف عند هذا الحد ولم يُصدر إعلانًا قاطعًا يربط المجموعة رسميًا بـ Lazarus الكورية الشمالية، تاركًا باب الإسناد مفتوحًا
.
تتناسب هذه الحملة تمامًا مع نمط عالمي تستخدم فيه جهات مدعومة من دول عاملي تكنولوجيا المعلومات والمطورين كنقطة وصول رئيسية. نشرت شركتا Mandiant و GitHub تقارير عن مجموعات مثل Jade Sleet وعمليات تسليم برمجيات COVERTCATCH الخبيثة عبر تحديات برمجة وهمية لوظائف مشابهة .
تعكس JINX-0164 اندماجًا خطيرًا لاتجاهات هجومية كانت تتسارع طوال عام 2025 وأوائل 2026. فهي تجمع بين الخداع الاجتماعي المُستهدف، وبرمجيات خبيثة مخصصة لمنصة غالبًا ما يتم تجاهلها (macOS)، وهجوم سلسلة توريد خالص على سجل npm. كما تُظهر شهية عدوانية للانتقال من نقاط النهاية إلى أدوات التطوير التي تُنتج وتُجمّع وتُوزع الكود البرمجي.
بالنسبة لفرق الأمن في مؤسسات العملات الرقمية والـ Web3، الدرس المستفاد واضح وصارم: مطور واحد يقع في فخ عرض عمل لامع ومُصقول على LinkedIn يمكن أن يؤدي إلى سلسلة انهيارات تبدأ من محافظه الشخصية لتصل إلى البنية التحتية الأساسية لبناء البرمجيات. القدرة على اكتشاف هذه الهجمات والاستجابة لها تتطلب رؤية ومراقبة ليس فقط على نقاط النهاية، بل في سجلات الحزم البرمجية، وسلوك استيراد الأكواد، وأنظمة CI/CD التي تقع في نهاية المطاف كحلقة الوصل الأخطر.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
اختراق يبدأ بعرض وظيفي: مجموعة JINX 0164 تستخدم شخصيات وهمية لمسؤولي توظيف على LinkedIn لاستهداف مطوري العملات الرقمية، وتدفعهم إلى تحميل برمجيات خبيثة متخفية في شكل اختبارات برمجة.
اختراق يبدأ بعرض وظيفي: مجموعة JINX 0164 تستخدم شخصيات وهمية لمسؤولي توظيف على LinkedIn لاستهداف مطوري العملات الرقمية، وتدفعهم إلى تحميل برمجيات خبيثة متخفية في شكل اختبارات برمجة. حصان طروادة داخل كود برمجي: حزمة @velora dex/sdk على منصة npm تم تخريبها لتنفيذ برمجية MINIRAT فور استيرادها، مما يمنح المخترقين بابًا خلفيًا على أجهزة macOS دون الحاجة لأي أوامر تثبيت.
شبح كوريا الشمالية: تتطابق تكتيكات JINX 0164 بشكل كبير مع أساليب مجموعة Lazarus الكورية الشمالية، مثل استدراج المطورين بعروض وهمية واستهداف منصات macOS، لكن لم يصدر إسناد رسمي حاسم حتى الآن.