جهة تهديد جديدة تنقب على شركات العملات الرقمية عبر محتالين مزيفين في LinkedIn وخطوط أنابيب CI/CD مسمومة

جهة تهديد غير معروفة سابقًا تستهدف بشكل منهجي مؤسسات العملات الرقمية منذ منتصف 2025 على الأقل، وذلك بتركيب برمجيات خبيثة مخصصة لنظام macOS عبر ملفات مزيفة لمحتالين في LinkedIn، واستخدامها للانتقال جانبيًا إلى خطوط أنابيب CI/CD، وسرقة بيانات محافظ العملات الرقمية، وفي حالة واحدة على الأقل تنفيذ هجوم على سلسلة التوريد. شركة Wiz Research، المملوكة من Google والمتخصصة في أمن السحابة، كشفت اليوم عن الحملة، وتتابع المجموعة تحت اسم JINX-0164.

سلسلة الهجوم تبدأ بملف LinkedIn يبدو موثوقًا على أنه محتال. يُدعى الهدف إلى مقابلة افتراضية عبر رابط يبدو وكأنه برنامج مؤتمرات شرعي — لكن النطاق مزيف، مصمم لتقليد برنامج اجتماعات حقيقي. عندما "تفشل المكالمة" في التحميل، يُطلب من الضحية تنزيل إصلاح. هذا الإصلاح هو AUDIOFIX، وهو برنامج خبيث سارق للمعلومات وحصان طروادة للوصول عن بُعد يعتمد على Python، يتنكر كسائق صوت macOS باسم coreaudiod ويُحفظ على القرص باسم ChromeUpdater.

ماذا يأخذ AUDIOFIX

بمجرد التثبيت، يجمع AUDIOFIX مجموعة واسعة غير عادية من البيانات: كلمات مرور مخزنة في مديري كلمات المرور، ومتاجر بيانات متصفح الويب، وملفات iCloud Keychain، وبيانات اعتماد المسؤول المحلي، ومفاتيح SSH وملفات التكوين، وسجل الأوامر، وعناوين محافظ العملات الرقمية وبيانات إضافات المتصفح، ورموز الجلسات النشطة من Discord وSlack وTelegram. البرنامج الخبيث يدعم الاستطلاع اليدوي، وتنفيذ أوامر شل التعسفية، وحذف الملفات، واسترجاع الحمولات من بنية تحتية يتحكم بها المهاجم — مما يمنح JINX-0164 وصولًا عن بُعد دائمًا إلى جانب سرقة البيانات الأولية.

تلاحظ Wiz أن الحمولة واعية ببنية المعالج، مُجمَّعة لكل من معالجات Intel وApple Silicon Macs، ويتم تسليمها عبر نطاق مزيف لمتجر السائقين (apple.driver-store[.]com) باستخدام سكريبت bash يتعامل مع التثبيت.

CI/CD كهدف ثانوي

السمة المميزة لـ JINX-0164 مقارنة بالبرمجيات الخبيثة الأبسط التي تستهدف العملات الرقمية هي تركيزها على الانتقال الجانبي إلى بنية التطوير. بعد اختراق كمبيوتر محمول لأحد الموظفين، تستخدم المجموعة AUDIOFIX للانتقال إلى أنظمة توزيع الشيفرة الداخلية، وحقن الحمولة الخبيثة في مستودعات الشيفرة المصدرية. الهدف هو الوصول إلى أجهزة مطورين آخرين، وفي النهاية اختراق الشيفرة التي تدير معاملات العملات الرقمية — تحويل ضحية واحدة لصيد احتيالي إلى هجوم على سلسلة التوريد يؤثر على جميع مستخدمي المشروع.

في ناقل منفصل، قامت المجموعة أيضًا بتوزيع MiniRAT، وهو باب خلفي مبني بلغة Go، عبر نسخة مخترقة من @velora-dex/sdk، وهي حزمة npm شرعية لـ DeFi تُستخدم لمبادلة الرموز على منصة VeloraDEX اللامركزية. الحزمة المسمومة تحمِّل سكريبت شل من خادم بعيد يسلم ثنائي macOS عبر استمرارية launchctl. شركتا SafeDep وStepSecurity وثقتا تلك الحملة المحددة الشهر الماضي.

بصمات كورية شمالية

يلاحظ باحثو Wiz أن عدة جوانب من الحملة تتداخل مع مجموعات تهديد كورية شمالية معروفة، خاصة BlueNoroff. تتضمن ذلك استخدام VPN Astrill أثناء العمليات، والتركيز المستمر على شركات العملات الرقمية والمطورين، وتقنية الهندسة الاجتماعية لطعم التوظيف التي أصبحت بصمة مميزة للمجموعات المرتبطة بكوريا الشمالية في السنوات الأخيرة. Wiz لا تصل إلى إسناد قاطع لكنها تقيِّم النشاط على أنه مدفوع ماليًا ومتطور تشغيليًا بما يكفي لدعم هجمات متعددة المراحل.

النمط يتوافق مع استراتيجية كورية شمالية أوسع لاستهداف بنية العملات الرقمية: بينما تطلب مجموعات الفدية عادةً دفع فدية بعد اختراق الضحية، تهدف JINX-0164 إلى اختراق قدرة الضحية على تحريك الأموال تمامًا — إما بسرقة بيانات المحفظة مباشرة أو بإدراج شيفرة خبيثة في التطبيقات التي تدير معاملات العملات الرقمية.

ما يجب أن ينتبه له فرق العملات الرقمية والتطوير

كشف Wiz يتضمن مؤشرات اختراق. يجب على المؤسسات التعامل مع تواصل غير مرغوب فيه من محتالين في LinkedIn يتبعه طلبات مكالمة فيديو — خاصة تلك التي تتضمن أخطاء تقنية غير مبررة تتطلب تنزيل — كتفاعلات عالية المخاطر. AUDIOFIX يستخدم استمرارية launchctl، لذلك أدوات أمان macOS التي تراقب تسجيل خدامات launch يمكنها اكتشافه. نمط النطاق المزيف (apple.driver-store[.]com وما شابه) يجب إضافته إلى قوائم حظر DNS.

بالنسبة لفرق التطوير، زاوية CI/CD هي الأكثر خطورة. إذا تم اختراق أي مطور في مؤسسة لديه وصول إلى خطوط أنابيب البناء، فإن نصف قطر الانفجار النهائي يمتد ليشمل كل مستخدم للبرنامج المتأثر. توقيع الشيفرة والبناءات القابلة للتكرار هي تخفيفات جزئية؛ مراقبة السلوك الزمني لمهام CI/CD أكثر فعالية في كشف الانتقال الجانبي بعد الاختراق قبل إصدار إصدار مسموم.