يقع مطورو العملات الرقمية ضحية لمكالمات وهمية على لينكدإن، ويفقدون السيطرة على مسارات تطوير البرمجيات

تقوم مجموعة من المتسللين، تُعرف باسم JINX-0164، بالاتصال بمطوري العملات المشفرة عبر LinkedIn ودعوتهم إلى اجتماعات وهمية تؤدي إلى إصابة أجهزتهم ببرامج ضارة مخصصة لنظام macOS.

يسرق هذا البرنامج الخبيثdentتسجيل الدخول ويسيطر على بنى البرمجيات التي يستخدمها المطورون لبناء البرمجيات ونشرها. وقد نشرت شركة Wiz المتخصصة في أمن الحوسبة السحابية نتائجها في 27 مايو 2026.

رابط اجتماع مزيف يقوم بتثبيت برمجية AUDIOFIX الخبيثة على أجهزة المطورين

ربط فريق الاستجابةdent التابع لشركة ويز المجموعة بهجمات تعود إلى منتصف عام 2025 على الأقل.

يتواصل المهاجمون مع مطور برامج على موقع LinkedIn باستخدام ملف تعريف يبدو شرعيًا، ويقترحون إجراء مكالمة عمل، ويرسلون رابطًا لموقع ويب مزيف مصمم ليبدو مثل Microsoft Teams أو أداة مماثلة لعقد مؤتمرات الفيديو.

فيروس AUDIOFIX هو فيروس macOS يبدأ التثبيت خلسةً عندما ينقر المستخدم على رابط يعتقد أنه رابط اجتماع. يعمل هذا الفيروس على أجهزة Mac المزودة بمعالجات Intel وApple Silicon، ويتم تثبيته عبر برنامج نصي مخزن على موقع Apple مزيف. يُهيئ الفيروس نفسه للاستمرار في العمل بعد إعادة التشغيل، ويتظاهر بأنه أحد مكونات الصوت في النظام، ويتواصل مع المهاجمين عبر بروتوكول HTTPS.

بمجرد تثبيته على الجهاز، يقوم البرنامج الخبيث بجمع كلمات المرور المحفوظة من سلسلة مفاتيح macOS، وبياناتdentالمتصفح، ومفاتيح SSH، ورموز الوصول السحابي لخدمات AWS وGCP وAzure، وبيانات محافظ العملات الرقمية. بالإضافة إلى ذلك، اكتشف Wiz أن المهاجمين كانوا يقومون بعمليات تصيد احتيالي مباشرة لسرقة كلمات المرور وتخزينها في ملفات مشفرة.

يختلف برنامج JINX-0164 عن برامج سرقة المعلومات الأخرى لأنه يستهدف مستودعات التعليمات البرمجية الداخلية والبنية التحتية للتطوير.

في دراسة حالة من أوائل عام 2026، وثّق ويز كيف استخدم المهاجمون رموز GitHub المسروقة لاستخراجtracالسرية من مسارات التكامل المستمر/التسليم المستمر (CI/CD) باستخدام أداة مفتوحة المصدر تُسمى nord-stream. ثم قاموا بحقن برمجية AUDIOFIX الخبيثة في المستودعات الداخلية، منتحلين صفة مطورين شرعيين عن طريق تزوير بيانات تعريف التزامات Git ودفع التعليمات البرمجية الخبيثة إلى الفروع الرئيسية أو اختراق الفروع الموجودة.

أُصيب مطورون آخرون قاموا بسحب وبناء البرامج من تلك المستودعات الملوثة بالعدوىmatic. وأصبحت آلية التطوير الخاصة بالمنظمة نفسها وسيلةً للتوزيع. وقد رصد وضع المراقبة في GitHub، الذي يُشير إلى عمليات التثبيت التي تفتقر إلى توقيعات GPG مُوثقة، عملية انتحال الهوية في حالة واحدة على الأقل.

نفّذت المجموعة أيضًا هجومًا مؤكدًا على سلسلة التوريد لحزمة npm عامة. في 7 أبريل 2026، قام برنامج JINX-0164 بزرع برمجية خبيثة في الإصدار 4.9.1 من @velora-dex/sdk، حيث حقن أمرًا مُشفّرًا بصيغة base64 قام بجلب وتنفيذ سكربت عن بُعد لنشر MINIRAT. وهو باب خلفي خفيف الوزن مبني على لغة Go، يركز على الثبات وتنفيذ الأوامر عن بُعد.

يستهدف المهاجمون cash والبرمجيات الخاصة بمطوري العملات المشفرة

تتشارك شركتا AUDIOFIX وMINIRAT نطاقات التحكم والسيطرة مثل datahub[.]ink وcloud-sync[.]online وbyte-io[.]us. المهاجمون بتوجيه أنشطتهم عبر Mullvad VPN وAstrill VPN وExpressVPN لإخفاء مواقعهم الحقيقية.

وجد فريق ويز بعض أوجه التشابه التكتيكية مع مجموعات التهديد الكورية الشمالية UNC1069 وSapphire Sleet، لكنه لم يجد أي تداخل مباشر في البنية التحتية. ويصفون JINX-0164 بأنه جهة تهديد مستقلة ذات دوافع مالية.

في مايو، تمكن قراصنة من اختراق أكثر من 170 حزمة من حزم npm وPyPI، بما في ذلك مكتبة Mistral AI الرسمية للغة بايثون. كشف هذا الهجوم عن رموز GitHub وبياناتdentسحابية مملوكة لمطوري العملات المشفرة والذكاء الاصطناعي. وكانت هذه أيضًا أول حالة موثقة لحزم خبيثة تحمل شهادات SLSA Build Level 3 صالحة، مما أدى إلى كسر نموذج الثقة التشفيري المصمم للتحقق من سلامة البناء.

عادةً ما يؤدي اختراق مطوري العملات الرقمية والذكاء الاصطناعي إلى سرقة cash وبرمجيات قيّمة. لذا، ينبغي على مختبرات وشركات العملات الرقمية تعزيز إجراءات الأمن السيبراني ومراجعة عمليات التكامل المستمر/التسليم المستمر (CI/CD) الخاصة بها بحثًا عن أي وصول غير مصرح به أو أنشطة ضارة. تُعدّ عمليات GitHub غير المصرح بها، وعمليات الالتزام ذات التوقيعات غير الموثقة، واتصالات VPN غير المعتادة، جميعها مؤشرات تحذيرية. كما ينبغي على المطورين الذين انضموا إلى اجتماعات مُرسلة عبر LinkedIn فحص أجهزتهم بحثًا عن الفيروسات.