مجموعة قرصنة غير معروفة سابقًا تستهدف مطوري العملات الرقمية بشكل منهجي من خلال حملات توظيف مزيفة على موقع LinkedIn. يقومون بتثبيت برمجيات ضارة مخصصة على أجهزة المطورين، ثم يستخدمون هذا الوصول لاختراق البنية التحتية الكاملة لتطوير البرمجيات في الشركة المستهدفة.
أطلقت شركة الأمن السيبراني “Wiz” اسم “JINX-0164” على هذه المجموعة، وتتابع نشاطها منذ منتصف عام 2025 على الأقل. نفذت المجموعة عدة اختراقات ناجحة ضد شركات العملات الرقمية، وفي حالة واحدة على الأقل حاولت تنفيذ هجوم كامل على سلسلة التوريد عن طريق نشر كود خبيث عبر حزمة برمجية مشهورة ومستخدمة على نطاق واسع.
كيف يعمل الهجوم؟
يتبع الهجوم نمطًا ثابتًا في كل الحالات الموثقة:
- تبدأ العملية من خلال مراسلات على LinkedIn
- في حالة واحدة موثقة، استغرقت العملية بأكملها من أول اتصال على LinkedIn إلى اختراق كامل للبنية التحتية أسبوعين فقط
هجوم سلسلة التوريد
في 7 أبريل 2026، قامت مجموعة JINX-0164 بتلويث الإصدار 9.4.1 من حزمة npm المسماة @velora-dex/sdk، وهي حزمة برمجية مستخدمة على نطاق واسع في العملات الرقمية. تمت إضافة ثلاثة أسطر من الكود الخبيث إلى الحزمة، والتي كانت تقوم بتنزيل باب خلفي خفيف الوزن يسمى MINIRAT بصمت عند استخدام أي مطور للحزمة.
استهدف الهجوم بيانات اعتماد npm بدلاً من كود المصدر على GitHub، مما يعني أن المستودع بدا نظيفًا بينما كانت الحزمة المنشورة مخترقة فعلًا.
لماذا المطورون هم الهدف؟
تحتوي أجهزة المطورين على بيانات اعتماد لكل نظام يتعاملون معه: البنية التحتية السحابية، مستودعات الكود، مديري الحزم، وواجهات البرمجة الداخلية. أظهرت مجموعة JINX-0164 اهتمامًا محدودًا بالموارد السحابية التقليدية بعد الوصول. كان تركيزها الأساسي على أنظمة توزيع الكود والبنية التحتية للتطوير، وهي الطريق الأكثر فعالية للوصول إلى آلاف المستخدمين النهائيين من خلال حزمة برمجية موثوقة واحدة.
ما الذي يجب الانتباه إليه؟
حددت شركة Wiz عدة مؤشرات ساعدت في كشف الهجوم، منها:
- شارات الالتزام غير الموثقة في وضع “Vigilant Mode” على GitHub
- عدم تطابق بين تاريخ مفاتيح GPG ومؤلفي الالتزامات
- عمليات دفع (git push) تتتبع إلى جهاز واحد مخترق من خلال سجلات التدقيق
تستخدم المجموعة خدمات VPN مثل Mullvad وAstrill وExpressVPN لإخفاء مصدرها. لم يتم تأكيد هوية المجموعة بشكل قاطع، لكن Wiz لاحظت تشابهات تكتيكية مع مجموعات قرصنة من كوريا الشمالية مثل UNC1069 وSapphire Sleet، دون وجود تداخل في البنية التحتية مع مجموعات معروفة.
أسئلة شائعة
س: كيف أحمي نفسي كمطور من هجمات JINX-0164؟
ج: تأكد من التحقق من جميع طلبات التواصل على LinkedIn، ولا تقبل تنزيل ملفات أو روابط من أشخاص غير معروفين. استخدم وضع “Vigilant Mode” على GitHub، وراجع سجلات التدقيق بانتظام. أيضًا، استخدم مصادقة متعددة العوامل على جميع حسابات npm وGitHub.
س: هل تؤثر هذه الهجمات على المستخدمين العاديين للعملات الرقمية؟
ج: نعم، بشكل غير مباشر. إذا تم اختراق حزمة برمجية تستخدمها محفظة رقمية أو تطبيق لامركزي، فقد يتعرض أموالك للخطر. لذلك، من المهم تحديث جميع البرامج بانتظام ومتابعة التحذيرات الأمنية من فرق التطوير.
س: كيف يمكنني معرفة إذا كانت حزمة npm التي أستخدمها مخترقة؟
ج: تحقق من وجود شارات التزام موثقة (verified commit badges) على GitHub، وقارن بين إصدارات الحزمة المنشورة على npm والكود الموجود في المستودع العام. إذا لاحظت وجود كود إضافي غير متوقع في الحزمة المنشورة، قم بالإبلاغ فورًا. استخدم أدوات الفحص الآلي مثل npm audit للكشف عن الثغرات.
