هجوم JINX-0164: برمجية خبيثة تستهدف أنظمة ماك وسرقة الكريبتو

كشف خبراء عن حملة إلكترونية يقودها JINX-0164 تستهدف شركات العملات الرقمية عبر برمجيات خبيثة مخصصة لأنظمة ماك، تهدف لسرقة الأصول الرقمية والبيانات الحساسة.

تستهدف هذه الحملة المتطورة، التي تم تتبع نشاطها منذ منتصف عام 2025، الموظفين والمطورين في قطاع العملات الرقمية. تعتمد الهجمات على أساليب هندسة اجتماعية معقدة واستخدام برمجيات خبيثة مخصصة لأنظمة Apple macOS، مما يسمح للمهاجمين بالانتقال من أجهزة الموظفين الشخصية إلى أنظمة توزيع الأكواد والبنية التحتية للتطوير.

ووفقاً لما تابعه تيكبامين، فإن المهاجم JINX-0164 مدفوع بشكل أساسي بالربح المادي، حيث يسعى للوصول إلى محافظ الكريبتو وبيانات الاعتماد الحساسة. وفي حالات معينة، تمكن المهاجمون من تنفيذ هجمات على سلاسل التوريد، مما يضاعف من خطورة هذا التهديد الرقمي الجديد.

كيف يستهدف هجوم JINX-0164 مستخدمي أنظمة ماك؟

تبدأ سلسلة الهجوم عبر منصة LinkedIn، حيث يستخدم المهاجمون ملفات شخصية تبدو موثوقة للتواصل مع الضحايا وتقديم عروض عمل وهمية. يتم دعوة الهدف للمشاركة في اجتماع افتراضي، وبدلاً من استخدام منصات معروفة، يتم توجيههم إلى نطاقات مزيفة تشبه واجهات مزودي خدمات المؤتمرات عبر الإنترنت.

بمجرد دخول الموقع المزيف، يُطلب من المستخدمين تحميل وتثبيت برنامج خاص للمشاركة في الاجتماع. هذه العملية تؤدي في الواقع إلى تشغيل نص برمجيم (Bash Script) يقوم بتحميل برمجية خبيثة تُعرف باسم AUDIOFIX، وهي أداة لسرقة البيانات والتحكم عن بُعد تعتمد على لغة Python.

مواصفات البرمجية الخبيثة وطريقة عملها:

• اسم البرمجية: AUDIOFIX
• الأنظمة المستهدفة: أنظمة ماك (macOS) بمعالجات Intel ومعالجات Apple Silicon (M1/M2/M3)
• طريقة التمويه: تتخفى في شكل برنامج تشغيل صوتي للنظام باسم coreaudiod
• التثبيت: يتم حفظها باسم ChromeUpdater وتفعيلها عبر أداة launchctl للنظام

ما هي مخاطر برمجية AUDIOFIX الخبيثة على العملات الرقمية؟

بمجرد إصابة الجهاز، تبدأ البرمجية في تنفيذ مهام تجسسية واسعة النطاق. لا تقتصر الأضرار على سرقة الملفات المحلية، بل تمتد لتشمل حقن أكواد خبيثة في أنظمة توزيع البرمجيات الداخلية للشركة، مما يسمح للمهاجمين بتعديل الأكواد البرمجية وسرقة بيانات اعتماد محافظ العملات الرقمية من مطورين آخرين.

وحسب تقرير تيكبامين، فإن البيانات التي يتم الاستيلاء عليها تشمل قائمة طويلة من المعلومات الحساسة:

• بيانات الاعتماد المخزنة في مديري كلمات المرور ومتصفحات الويب
• ملفات Keychain الخاصة بآبل (iCloud Keychain)
• مفاتيح SSH وبيانات اعتماد المشرف المحلي (Admin)
• سجل الأوامر في وحدة التحكم (Console History)
• إضافات متصفح العملات الرقمية وعناوين محافظ الكريبتو
• جلسات العمل النشطة على منصات Discord وSlack وTelegram

كيف تحمي بياناتك وأصولك الرقمية من هجمات التصيد؟

تُظهر هذه الحملة أن مستخدمي آيفون وماك لم يعودوا بمنأى عن الهجمات المعقدة التي كانت تستهدف سابقاً أنظمة ويندوز بشكل أساسي. إن استخدام نطاقات مثل "apple.driver-store[.]com" يهدف إلى خداع المستخدمين وإعطائهم شعوراً زائفاً بالأمان لأن الاسم يحتوي على علامة تجارية موثوقة.

لحماية نفسك وشركتك، يُنصح دائماً بعدم تحميل أي برمجيات من خارج متجر تطبيقات آبل الرسمي أو المواقع الرسمية المعروفة، خاصة عند تلقي دعوات من أشخاص غير معروفين عبر وسائل التواصل المهني. كما يجب تفعيل ميزة التحقق بخطوتين وتجنب تخزين المفاتيح الخاصة بالعملات الرقمية بشكل غير مشفر على الأجهزة المتصلة بالإنترنت.

ختاماً، يمثل ظهور JINX-0164 تحولاً في مشهد التهديدات السيبرانية، حيث يتم دمج الهندسة الاجتماعية التقليدية مع تقنيات اختراق متطورة تستهدف البنية التحتية للتطوير، مما يجعل اليقظة الرقمية أمراً حتمياً لكل العاملين في مجال التقنية والعملات المشفرة.