JINX-0164 جهة تهديد

قام مُهاجم إلكتروني غير موثق سابقًا، يُعرف باسم JINX-0164، بتنظيم حملة إلكترونية مُستهدفة بدقة ضد منظمات العملات الرقمية، مستخدمًا أساليب الهندسة الاجتماعية المُوجهة نحو التوظيف وبرمجيات خبيثة مُصممة خصيصًا لنظام macOS لسرقة الأصول الرقمية. وقد نشطت هذه المجموعة، التي تحركها دوافع مالية، منذ منتصف عام 2025 على الأقل، وركزت بشكل كبير على المطورين، وفي حادثة واحدة مؤكدة على الأقل، نفذت اختراقًا لسلسلة توريد البرمجيات.

تُظهر هذه الحملة مزيجًا متطورًا من أساليب التوظيف الخادعة، ونشر البرمجيات الخبيثة، والاختراق العميق لبيئات التكامل المستمر/التسليم المستمر (CI/CD). ومن خلال اختراق محطات عمل الموظفين، نجح المهاجمون في الانتقال الجانبي إلى بنية التطوير التحتية وأنظمة توزيع التعليمات البرمجية، مما زاد بشكل كبير من نطاق وتأثير عمليات الاختراق.

عمليات الاحتيال في التوظيف تصبح نقطة الدخول

تعتمد برمجية JINX-0164 الخبيثة على إقناع حسابات وهمية على لينكدإن بالتواصل مع مطورين وموظفين مستهدفين يعملون في مؤسسات مرتبطة بالعملات المشفرة. ويتم دعوة الضحايا للمشاركة في اجتماعات افتراضية تُعقد على نطاقات مزيفة تنتحل صفة منصات مؤتمرات الفيديو الشرعية.

أثناء عملية إعداد الاجتماع الوهمي، يُطلب من الضحايا تنزيل ما يبدو أنه برنامج عميل للاجتماعات أو حل تقني. في الواقع، يبدأ الملف الذي تم تنزيله سلسلة العدوى عن طريق استرداد برنامج تجسس لسرقة معلومات نظام macOS وحصان طروادة للوصول عن بُعد، مبني على لغة بايثون، يُعرف باسم AUDIOFIX، من نطاق توزيع برامج تشغيل مزيف، وهو 'apple.driver-store.com'.

تتم عملية الإصابة عبر سكربت باش قادر على تحديد بنية نظام الضحية، مما يسمح للبرمجية الخبيثة بالعمل بسلاسة على أجهزة macOS التي تعمل بمعالجات Intel وApple Silicon. تتنكر الحمولة الخبيثة في هيئة برنامج تشغيل صوت النظام باسم "coreaudiod"، وتُخزن محليًا باسم "ChromeUpdater"، ويتم تشغيلها باستخدام آليات launchctl في macOS للحفاظ على استمراريتها.

يُتيح برنامج AUDIOFIX اختراقًا عميقًا للنظام.

بمجرد نشرها، تقوم برمجية AUDIOFIX الخبيثة بعمليات سرقة بيانات اعتماد واسعة النطاق وعمليات استطلاع، كما تدعم أيضًا التسلل الجانبي إلى البنية التحتية الداخلية. وقد لاحظ الباحثون استخدام هذه البرمجية الخبيثة لحقن حمولات خبيثة في أنظمة التطوير وتعديل شفرة المصدر في محاولات لاختراق نقاط نهاية إضافية وسرقة بيانات اعتماد محافظ العملات المشفرة.

يستطيع هذا البرنامج الخبيث سرقة مجموعة واسعة من المعلومات الحساسة، بما في ذلك:

• بيانات اعتماد مدير كلمات المرور، وبيانات المتصفح، وملفات سلسلة مفاتيح iCloud، ومفاتيح SSH، وبيانات اعتماد المسؤول، وسجلات تاريخ وحدة التحكم، وملفات التكوين
• عناوين محافظ العملات المشفرة، وبيانات إضافات المتصفح المرتبطة بخدمات العملات المشفرة، والجلسات النشطة من ديسكورد، وسلاك، وتليجرام

بالإضافة إلى سرقة المعلومات، يدعم برنامج AUDIOFIX أيضًا تنفيذ الأوامر عن بعد، وحذف الملفات، وتسليم الحمولة، وأنشطة الاستطلاع، واستخراج البيانات من الأنظمة المصابة.

برنامج MiniRAT يُوسّع نطاق التهديد من خلال إساءة استخدام سلسلة التوريد

المكون الرئيسي الآخر للعملية هو MiniRAT، وهو باب خلفي قائم على Go مرتبط بحزمة npm مخترقة تسمى '@velora-dex/sdk'. كانت الحزمة مرتبطة بمجموعة أدوات تمويل لامركزية شرعية تستخدم لتبادل الرموز وتداول دلتا وأوامر الحد على منصة VeloraDEX.

استرجعت النسخة الخبيثة من الحزمة نصًا برمجيًا من خادم بعيد، ثم قامت بتثبيت برنامج MiniRAT ثنائي خاص بنظام macOS. وبمجرد تثبيته، مكّن البرنامج الخبيث المهاجمين من تحميل الملفات، وتنفيذ أوامر برمجية عشوائية، وتنزيل حمولات إضافية من بنية تحتية يتحكم بها المهاجمون.

دأبت مجموعة JINX-0164 على استخدام أساليب الهندسة الاجتماعية التي تتضمن فرص توظيف وهمية ومشاكل تقنية مفتعلة تجبر الضحايا على تثبيت برامج إصلاح مزيفة. وتؤكد هذه المنهجية المتسقة على تركيز المجموعة الشديد على التلاعب بالبشر كأداة رئيسية للاختراق.

روابط محتملة بعمليات إلكترونية كورية شمالية

تتشابه العديد من خصائص الحملة مع الأنشطة التي سبق ربطها بجماعات التهديد السيبراني الكورية الشمالية مثل BlueNoroff و Contagious Interview و UNC1069. وقد لاحظ الباحثون أوجه تشابه في أنماط الاستهداف، والنطاقات المزيفة، واستخدام خدمات VPN مثل Astrill VPN.

على الرغم من هذه التداخلات، لم يحدد المحققون أي روابط مؤكدة في البنية التحتية تربط مشروع JINX-0164 مباشرةً بالعمليات التي ترعاها الدولة الكورية الشمالية. وتشير الأدلة الحالية إلى وجود تشابهات تشغيلية بدلاً من تحديد المسؤولية بشكل قاطع.