ما هي مجموعة JINX-0164 وكيف تستهدف مطوري العملات الرقمية عبر LinkedIn وحزم npm؟

ترسانة مزدوجة من البرمجيات الخبيثة على macOS

بعد أن يُشغّل الضحية الطُعم الأولي، تقوم JINX-0164 بتسليم حمولات خبيثة مخصصة لنظام macOS. حددت Wiz مكونين خبيثين رئيسيين تم استخدامهما في هذه الحملة.

AUDIOFIX: سارق معلومات بلغة بايثون

AUDIOFIX هو برنامج خبيث (Infostealer) مكتوب بلغة بايثون ومُصمم خصيصًا لنظام macOS. يتم تسليمه عبر إغراءات الهندسة الاجتماعية السابقة . وظيفته الأساسية هي البحث عن بيانات محافظ العملات الرقمية، والمفاتيح الخاصة (Private Keys)، وأي أسرار برمجية أخرى يخزنها المطور على جهازه، ومن ثم تسريبها إلى خوادم المهاجمين .

MINIRAT: أداة وصول عن بعد بلغة Go

MINIRAT هو برنامج خبيث متكامل من نوع حصان طروادة للوصول عن بعد (RAT) مكتوب بلغة Go ومُخصص لنظام macOS. يوفر للمهاجمين "بابًا خلفيًا" ثابتًا للتحكم بالجهاز المصاب. من بين قدراته الخطيرة: تنفيذ أوامر الشل (Shell Commands) التعسفية، وسرقة الملفات، وتحميل وتشغيل حمولات خبيثة إضافية .

يستخدم هذا البرنامج الخبيث عدة تقنيات تسلل وتخفي:

• تجنب الأجهزة الوهمية: يتضمن البرنامج فحوصات لاكتشاف ما إذا كان يعمل داخل جهاز افتراضي (VM)، وهو أسلوب يهدف إلى إفشال محاولات تحليل البرمجيات الخبيثة في بيئات اختبار معزولة .
• تشفير اتصالات القيادة والتحكم (C2): يتم التواصل بين الجهاز المُصاب وخوادم المهاجمين عبر بروتوكول HTTPS وبتكوين مُشفر باستخدام خوارزمية AES .
• آلية بقاء خفية: يُثبّت MINIRAT نفسه ليبقى نشطًا باستخدام وكيل تشغيل (LaunchAgent) في macOS مُتنكرًا على أنه أحد مكونات نظام آبل (com.apple.Terminal.profiler). هذا يضمن إعادة تشغيل البرنامج الخبيث كل مرة يُسجل فيها المستخدم الدخول إلى جهازه .

هجوم سلسلة التوريد: كيف انتشر MINIRAT عبر npm

أحد أخطر نواقل الهجوم التي استخدمها MINIRAT هو هجوم "سلسلة توريد" (Supply Chain Attack) على مستوى سجل الحزم البرمجية. في 7 أبريل 2026، قام المخترقون بنشر نسخة خبيثة (v9.4.1) من الحزمة الشرعية @velora-dex/sdk على منصة npm، وهي المنصة الأشهر لمشاركة الأكواد البرمجية في بيئة Node.js .

الخطير في هذا الهجوم هو أسلوبه الخفي. بدلاً من الاعتماد على "سكريبتات تثبيت" (Install Scripts) أو أوامر مشبوهة بعد التثبيت (Post-install Hooks) التي غالبًا ما تلتقطها أدوات الأمان، قام المخترقون بحقن ثلاثة أسطر فقط من التعليمات البرمجية الخبيثة مباشرة في ملف dist/index.js. هذا يعني أن الكود الخبيث ينفذ فورًا في اللحظة التي يقوم فيها أي مطور باستخدام الأمر ()require أو import لاستدعاء الحزمة المخترقة داخل مشروعه .

يقوم هذا الكود بجلب "سكريبت شل" عن بُعد، والذي بدوره يقوم بتحميل وتثبيت برمجية MINIRAT الخبيثة على نظام macOS باستخدام تقنية وكيل التشغيل التي تحدثنا عنها . وبما أن الحزمة بدت وكأنها مجموعة أدوات مفيدة لمشاريع التمويل اللامركزي (DeFi)، فقد تحولت إلى "حصان طروادة" فعال للغاية لاستهداف المطورين في مجال العملات الرقمية.

ما بعد الحاسوب المحمول: اختراق البنية التحتية للتطوير (CI/CD)

طموح JINX-0164 لا يتوقف عند أجهزة المطورين الفردية. تفيد تقارير Wiz أنه بعد السيطرة على حاسوب الضحية، يتحرك المخترق بشكل جانبي لاختراق أنظمة CI/CD والبنية التحتية الأوسع لتطوير البرمجيات .

هذه المرحلة من الهجوم بالغة الخطورة لأنها تحوّل اختراق حاسوب واحد إلى خطر يُهدد دورة حياة تسليم البرمجيات بالكامل. من خلال الوصول إلى أنظمة البناء والتجميع (Build Systems) ومستودعات الأكواد البرمجية (Code Repositories)، يمكن للمخترق حقن تغييرات خبيثة في تطبيقات داخلية موثوقة أو حتى في إصدارات رسمية تُوزع للعملاء، مما يُضاعف حجم الاختراق بشكل كارثي .

صلة كوريا الشمالية المحتملة

لم يتجاهل مجتمع استخبارات التهديدات الأساليب المألوفة المعروضة هنا. فالملامح التشغيلية لـ JINX-0164 تتطابق بشكل كبير مع حملات طالما نُسبت إلى مجموعات مدعومة من الدولة الكورية الشمالية، وعلى رأسها مجموعة "لازاروس" (Lazarus Group)، التي تُعرف أيضًا بأسماء مثل AppleJeus أو Contagious Interview أو DeceptiveDevelopment. الحمض النووي المشترك يتضمن إغراءات وظيفية وهمية على LinkedIn، واستهداف مطوري العملات الرقمية، وتركيز متواصل على برمجيات خبيثة مخصصة لنظام macOS .

شركة ESET، على سبيل المثال، وثّقت سابقًا مجموعات مرتبطة بكوريا الشمالية تستخدم نفس كتيب اللعب تقريبًا لسرقة العملات الرقمية والهندسة الاجتماعية ضد المطورين المستقلين على أنظمة Windows و Linux و macOS . ورغم هذا التداخل التكتيكي القوي، إلا أن تقرير Wiz الرسمي توقف عند هذا الحد ولم يُصدر إعلانًا قاطعًا يربط المجموعة رسميًا بـ Lazarus الكورية الشمالية، تاركًا باب الإسناد مفتوحًا .

تتناسب هذه الحملة تمامًا مع نمط عالمي تستخدم فيه جهات مدعومة من دول عاملي تكنولوجيا المعلومات والمطورين كنقطة وصول رئيسية. نشرت شركتا Mandiant و GitHub تقارير عن مجموعات مثل Jade Sleet وعمليات تسليم برمجيات COVERTCATCH الخبيثة عبر تحديات برمجة وهمية لوظائف مشابهة .

لماذا تُعتبر هذه الحملة جرس إنذار لعام 2026

تعكس JINX-0164 اندماجًا خطيرًا لاتجاهات هجومية كانت تتسارع طوال عام 2025 وأوائل 2026. فهي تجمع بين الخداع الاجتماعي المُستهدف، وبرمجيات خبيثة مخصصة لمنصة غالبًا ما يتم تجاهلها (macOS)، وهجوم سلسلة توريد خالص على سجل npm. كما تُظهر شهية عدوانية للانتقال من نقاط النهاية إلى أدوات التطوير التي تُنتج وتُجمّع وتُوزع الكود البرمجي.

بالنسبة لفرق الأمن في مؤسسات العملات الرقمية والـ Web3، الدرس المستفاد واضح وصارم: مطور واحد يقع في فخ عرض عمل لامع ومُصقول على LinkedIn يمكن أن يؤدي إلى سلسلة انهيارات تبدأ من محافظه الشخصية لتصل إلى البنية التحتية الأساسية لبناء البرمجيات. القدرة على اكتشاف هذه الهجمات والاستجابة لها تتطلب رؤية ومراقبة ليس فقط على نقاط النهاية، بل في سجلات الحزم البرمجية، وسلوك استيراد الأكواد، وأنظمة CI/CD التي تقع في نهاية المطاف كحلقة الوصل الأخطر.