حملة JINX-0164 تستهدف شركات الكريبتو ببرمجيات خبيثة لنظام macOS

مقدمة تحليلية

في تطور يبرز تصاعد التهديدات ضد قطاع الأصول الرقمية، كشف باحثو شركة Wiz عن تفاصيل حملة قرصنة بالغة التعقيد تستهدف شركات العملات المشفرة ومطوري البرمجيات منذ منتصف عام 2025. الحملة التي تتبع تحت معرف 'JINX-0164' توظف مزيجاً من الهندسة الاجتماعية الذكية الموجهة عبر منصات التوظيف مثل LinkedIn، والبرمجيات الخبيثة المخصصة بالكامل لنظام macOS، بهدف التسلل إلى محطات عمل المطورين واستخدامها للانتقال الأفقي إلى بيئات الإنتاج وسلاسل التوريد البرمجية لسرقة العملات المشفرة.

تكمن خطورة هذه الحملة في قدرتها على اختراق البنية التحتية لعمليات التطوير والنشر المستمر (CI/CD)، حيث يمتد نشاط المهاجمين لتعديل الأكواد البرمجية للمشاريع القائمة. هذه المنهجية تتيح للجهة الفاعلة تنفيذ هجمات سلاسل التوريد، مما يجعل من أجهزة المطورين الفردية ثغرة قاتلة قادرة على تهديد سلامة برمجيات القطاع المالي اللامركزي وسرقة ملايين الدولارات من أصول المستخدمين.

رغم أن تكتيكات الحملة تتقاطع مع أساليب مجموعات التهديد المتقدمة (APT) المرتبطة بكوريا الشمالية، إلا أن المحللين الأمنيين لم يجدوا تداخلاً في البنية التحتية يربط 'JINX-0164' بأي منها بشكل قاطع. هذا يثير القلق من ظهور فاعل سيبراني جديد يتمتع بقدرات تضاهي هجمات الدول ويسعى لتحقيق مكاسب مالية ضخمة عبر استغلال الثقة الرقمية في بيئات عمل المطورين.

التحليل التقني

تبدأ هجمات 'JINX-0164' من خلال تواصل المهاجمين مع المطورين المستهدفين عبر حسابات شخصية منتحلة ومصممة بعناية فائقة على منصة LinkedIn لتقديم عروض عمل وهمية وحث الضحية على جدولة مقابلة تقنية افتراضية. يتم تصميم رابط الدعوة للاجتماع ليوجه المستخدم إلى نطاق مزيف يحاكي منصات اتصالات الفيديو المعروفة. عند محاولة الانضمام، تظهر للمستخدم رسالة خطأ تقنية مصطنعة تدعي عدم إمكانية الاتصال بالخدمة، وتطلب منه تنزيل 'أداة إصلاح' تؤدي إلى تثبيت التهديد داخل النظام عبر الخطوات التقنية التالية:

• نص Bash الخبيث: يقوم الملف الذي تم تنزيله بتشغيل نص برمجية مخصصة للتحميل مستضاف على نطاق مزيف ينتحل هوية شركة آبل وهو apple.driver-store[.]com.
• حمولة معمقة متوافقة مع الأجهزة: يتولى النص البرمجي التعرف تلقائياً على معمارية معالج جهاز macOS المستهدف، ليقوم بتنزيل حمولة متوافقة إما مع معالجات Intel أو معالجات Apple Silicon.
• برمجية AUDIOFIX الخبيثة: يتم حفظ الحمولة باسم ChromeUpdater ولكنها تتخفى في النظام تحت اسم برنامج تعريف الصوت coreaudiod، ويتم استدعاؤها للعمل المستمر عبر أداة launchctl لضمان البقاء داخل النظام.

تعتبر برمجية AUDIOFIX حصان طروادة للوصول عن بعد (RAT) وأداة لسرقة المعلومات مطورة بلغة Python. بمجرد تمكنها من الجهاز، تبدأ في جمع وسرقة مجموعة واسعة من البيانات تشمل:

• بيانات الاعتماد المخزنة في متصفحات الويب وسجلات مدراء كلمات المرور وملفات سلسلة المفاتيح الخاصة بنظام آبل iCloud Keychain.
• مفاتيح التشفير والوصول البعيد SSH وملفات التكوين الحساسة وسجلات سطر الأوامر (Console History).
• جلسات العمل النشطة لتطبيقات التواصل الفوري مثل Discord وSlack وTelegram لسرقة قنوات الاتصال الداخلي للشركات.
• بيانات المحافظ الرقمية وإضافات متصفحات العملات المشفرة وعناوين المحافظ المنسوخة لتنفيذ هجمات استبدال العناوين.

تدعم AUDIOFIX استقبال أوامر مخصصة من خادم التحكم (C2)، مما يسمح للمهاجمين بإجراء عمليات فحص يدوي للمشغلين، وتنفيذ أوامر قشرة برمجية عشوائية، وحذف الملفات، وجلب أدوات قرصنة إضافية وفق الحاجة. وإلى جانب AUDIOFIX، تستخدم المجموعة أداة أخرى تسمى MiniRAT، وهي برمجية خبيثة مكتوبة بلغة Go تم رصدها تنتشر عبر طريقة هجوم سلاسل التوريد البرمجية، حيث قام المهاجمون بحقن شيفرة خبيثة في إصدار ملوث من حزمة npm الرسمية التابعة لـ @velora-dex/sdk المستهدفة لمنصة التمويل اللامركزي VeloraDEX لعمليات تبادل العملات الرقمية.

السياق وتأثير السوق

يسلط الكشف عن هذه الحملة الضوء على تحول استراتيجي حاد في تكتيكات المجموعات الإجرامية. لفترة طويلة، كان هناك اعتقاد سائد بأن نظام macOS يتمتع بحصانة أمنية تجعله أقل عرضة للهجمات مقارنة بنظام Windows. لكن التزايد المتسارع في تبني أجهزة الماك من قبل المطورين والمهندسين في كبرى شركات التقنية والعملات المشفرة جعل من هذا النظام هدفاً رئيسياً وجذاباً للمخترقين الذين يركزون على سرقة الأصول الرقمية.

تتشابه منهجيات 'JINX-0164' بشكل ملحوظ مع تكتيكات مجموعات التهديد المدعومة من دول، وتحديداً تلك المنسوبة إلى كوريا الشمالية مثل BlueNoroff ومجموعة Contagious Interview وUNC1069. تشترك هذه المجموعات في سمات رئيسية تشمل استخدام شبكات VPN مخصصة مثل Astrill VPN لإخفاء الهوية، والتركيز المطلق على قطاع التمويل اللامركزي (DeFi) والعملات الرقمية، والاعتماد الكثيف على سيناريوهات التوظيف المزيف لاختراق الأهداف. ومع ذلك، تشير تقارير Wiz إلى غياب تام لأي تداخل فعلي في البنى التحتية للمواقع أو عناوين IP المستخدمة بين 'JINX-0164' والمجموعات المعروفة تاريخياً، مما يوحي بأننا نواجه فاعلاً إما مستقلاً أو يتبع تكتيكات تمويه متقدمة للغاية.

رؤية Glitch4Techs

من وجهة نظرنا التحريرية في Glitch4Techs، فإن حملة JINX-0164 تفكك واحدة من أكبر الأوهام الأمنية في الشركات التقنية المعاصرة: وهم أمان أجهزة المطورين الشخصية. لطالما اعتبرت بيئات عمل المطورين مناطق حرة ومفتوحة لتسهيل الابتكار وسرعة كتابة الأكواد، مما يجعلها في الغالب مستثناة من السياسات الأمنية الصارمة المفروضة على بقية الموظفين. المطور يحتاج لتنزيل حزم برمجية جديدة وتجربة أدوات مختلفة، وهذه المرونة هي الثغرة التي ينفذ منها الخصوم المتقدمون.

المطور في العصر الحالي لم يعد مجرد كاتب للتعليمات البرمجية، بل هو عملياً المشغل لخط الإنتاج البرمجي بأكمله، وجهازه الشخصي يحتوي على مفاتيح الوصول المباشرة لبيئة الإنتاج والخدمات السحابية ومستودعات الشيفرة المصدرية الحساسة. اختراق جهاز مطور واحد يعني فعلياً سقوط جدار الحماية للشركة بأكملها والسماح بحقن برمجيات خبيثة مباشرة في التطبيقات الرسمية الموجهة للمستخدم النهائي. لذلك، فإن الاستمرار في تطبيق سياسات أمنية تقليدية لم يعد كافياً في مواجهة هذه التهديدات المعقدة.

نتوقع في Glitch4Techs أن تشهد الفترة القادمة تصاعداً كبيراً في استخدام برمجيات التجسس المخصصة لنظام macOS التي تستهدف بيئات التطوير. الحل لا يكمن فقط في زيادة برامج مكافحة الفيروسات، بل يتطلب إعادة هيكلة جذرية لمفهوم الأمان الرقمي لدى مطوري الأنظمة. يجب على الشركات تفعيل مبدأ 'الوصول بالحد الأدنى من الصلاحيات'، وفرض بيئات تطوير معزولة محلياً وسحابياً (Sandbox Environments)، ومراقبة صارمة لكافة عمليات تنزيل الحزم البرمجية الخارجية ومطابقتها مع التواقيع الرقمية المعتمدة، إلى جانب توعية الكوادر التقنية بأساليب الهندسة الاجتماعية المعقدة التي تستغل تطلعهم المهني لاقتناص فرص عمل وهمية تتحول لاحقاً لكوابيس أمنية مستعصية.