مجموعة من القراصنة تُدعى “جينكس-0164” تتصل بمطوري العملات الرقمية عبر موقع لينكد إن وتدعوهم لاجتماعات وهمية تؤدي إلى إصابة أجهزتهم ببرمجيات خبيثة خاصة بأجهزة ماك. هذه البرمجيات تسرق بيانات تسجيل الدخول وتختطف الأدوات التي يستخدمها المطورون لبناء ونشر البرمجيات.
كيف تعمل خدعة الاجتماع الوهمي؟
شركة الأمن السحابي “ويز” نشرت نتائج تحقيقها في 27 مايو 2026. فريق الاستجابة للحوادث في الشركة ربط هذه المجموعة بهجمات بدأت على الأقل في منتصف عام 2025.
المهاجمون يتواصلون مع مطور على لينكد إن باستخدام حساب يبدو حقيقياً، ويقترحون إجراء مكالمة عمل، ثم يرسلون رابطاً لموقع وهمي يشبه مايكروسوفت تيمز أو أدوات مؤتمرات فيديو مماثلة.
فيروس “أوديوفيكس” هو برنامج خبيث خاص بأجهزة ماك يبدأ التثبيت بصمت عندما يضغط الضحية على رابط الاجتماع المزعوم. الفيروس يعمل على أجهزة ماك بمعالجات إنتل ومعالجات أبل سيليكون، ويتم تحميله عبر سكريبت مخزّن على موقع وهمي لشركة أبل. الفيروس يهيئ نفسه لمواصلة العمل بعد إعادة تشغيل الجهاز، ويتنكر كمكوّن نظام صوتي، ويتواصل مع المهاجمين عبر بروتوكول HTTPS.
ما هي البيانات التي تُسرق؟
- كلمات المرور المحفوظة من سلسلة مفاتيح ماك (macOS Keychain)
- بيانات تسجيل الدخول من المتصفحات
- مفاتيح SSH
- رموز الوصول السحابية لخدمات AWS وGCP وAzure
- بيانات محافظ العملات الرقمية
كما اكتشفت شركة ويز أن المهاجمين كانوا يختلسون كلمات المرور مباشرة ويخزّنونها في ملفات مشفرة.
ما الذي يميز هذه المجموعة؟
“جينكس-0164” تختلف عن برامج سرقة المعلومات الأخرى لأنها تستهدف مستودعات الكود الداخلية والبنية التحتية للتطوير.
في دراسة حالة من أوائل 2026، وثّقت ويز كيف استخدم المهاجمون رموز جيت هاب المسروقة لاستخراج أسرار من خطوط أنابيب CI/CD باستخدام أداة مفتوحة المصدر تُدعى “نورد-ستريم”. ثم قاموا بحقن فيروس أوديوفيكس في المستودعات الداخلية، متظاهرين بأنهم مطورون حقيقيون عن طريق تزوير بيانات عمليات الـ Git ودفع كود خبيث إلى الفروع الرئيسية أو اختطاف فروع موجودة.
المطورون الآخرون الذين سحبوا الكود من هذه المستودعات الملوثة وبنوه، أصيبوا بالفيروس تلقائياً. هكذا أصبحت بيئة التطوير نفسها آلية توزيع للبرمجيات الخبيثة.
في إحدى الحالات، تمكن نظام “فيجيلانت مود” من جيت هاب، الذي يراقب عمليات الـ Git غير الموقعة، من اكتشاف التزوير.
هجوم على حزم npm العامة
في 7 أبريل 2026، قامت المجموعة بهجوم مؤكد على سلسلة التوريد لحزمة npm عامة. قاموا بتلويث الإصدار 4.9.1 من حزمة @velora-dex/sdk عن طريق إدخال أمر مشفر بـ base64 يقوم بتحميل وتنفيذ سكريبت عن بعد ينشر برنامج “ميني رات”. هذا الأخير هو باب خلفي خفيف الوزن مكتوب بلغة Go يركز على البقاء في النظام و تنفيذ الأوامر عن بعد.
أهداف المهاجمين: المال والكود
الفيروسان “أوديوفيكس” و”ميني رات” يشتركان في نفس خوادم التحكم مثل datahub[.]ink و cloud-sync[.]online و byte-io[.]us. المهاجمون يستخدمون شبكات VPN مثل Mullvad و Astrill و ExpressVPN لإخفاء موقعهم الحقيقي.
وجدت ويز بعض التشابهات التكتيكية مع مجموعات قرصنة من كوريا الشمالية مثل UNC1069 و Sapphire Sleet، لكن لم تجد تداخلاً مباشراً في البنية التحتية. ويز تصنف “جينكس-0164” كجهة تهديد متميزة بدوافع مالية بحتة.
في مايو، اخترق قراصنة أكثر من 170 حزمة من npm و PyPI، بما في ذلك المكتبة الرسمية لـ Mistral AI بلغة بايثون. هذا الهجوم كشف عن رموز جيت هاب وبيانات سحابية تخص مطوري العملات الرقمية والذكاء الاصطناعي. كانت هذه أيضاً أول حالة موثقة لحزم خبيثة تحمل شهادات SLSA Build Level 3 سليمة، مما يكسر نموذج الثقة المشفّر المخصص للتحقق من سلامة الكود.
قرصنة مطوري العملات الرقمية والذكاء الاصطناعي تؤدي عادةً إلى الحصول على أموال وكود قيم. يجب على شركات العملات الرقمية تعزيز إجراءات الأمن السيبراني ومراجعة خطوط أنابيب CI/CD الخاصة بها بحثاً عن أي وصول غير مصرح به أو أنشطة خبيثة. عمليات جيت هاب غير المصرح بها، وعمليات الـ Git ذات التوقيعات غير الموثقة، واتصالات VPN غير المعتادة، كلها علامات تحذيرية. المطورون الذين حضروا اجتماعات تمت دعوتهم إليها عبر لينكد إن يجب عليهم فحص أجهزتهم من الفيروسات.
الأسئلة الشائعة
س: كيف يحمي نفسي من هجمات مثل JINX-0164؟
ج: لا تنقر على روابط الاجتماعات التي تأتك عبر لينكد إن من أشخاص لا تعرفهم شخصياً. استخدم برامج مكافحة فيروسات محدّثة، وفعّل خاصية “Vigilant Mode” في جيت هاب، وراجع صلاحيات الرموز والمفاتيح في حساباتك السحابية.
س: ما هي أبرز العلامات التي تدل على أن جهازي مصاب؟
ج: ظهور نشاط غير معتاد في خطوط أنابيب CI/CD، أو وجود اتصالات VPN غير مألوفة، أو وجود عمليات Git بدون توقيع GPG سليم، أو بطء غير طبيعي في النظام، خاصة بعد المشاركة في اجتماع دعيت إليه عبر لينكد إن.
س: هل تؤثر هذه الهجمات فقط على مطوري ماك؟
ج: لا، رغم أن الفيروس الرئيسي “أوديوفيكس” يستهدف أجهزة ماك، لكن الهجمات يمكن أن تصيب أي مطور يستخدم مستودعات كود ملوثة. أي شخص يسحب كوداً من مستودع تم اختراقه على جيت هاب أو npm أو PyPI معرض للخطر، بغض النظر عن نظام التشغيل.
