قراصنة يستغلون وظائف وهمية على LinkedIn لاختراق شركات العملات الرقمية وسرقة شيفرات التطوير

كشفت شركة الأمن السيبراني Wiz عن نشاط مجموعة قرصنة جديدة تُعرف باسم JINX-0164، والتي تستهدف مطوري العملات الرقمية من خلال عروض عمل مزيفة على منصة LinkedIn بهدف اختراق أجهزتهم والوصول إلى البنية التحتية الخاصة بتطوير البرمجيات داخل الشركات.

ووفقًا للتقرير، تنشط المجموعة منذ منتصف عام 2025 على الأقل، وتمكنت من تنفيذ عدة عمليات اختراق ناجحة ضد مؤسسات تعمل في قطاع العملات الرقمية، بما في ذلك هجمات استهدفت سلاسل توريد البرمجيات المستخدمة من قبل آلاف المطورين.

كيف تبدأ عملية الاختراق؟

تعتمد الهجمات على أسلوب الهندسة الاجتماعية لإقناع الضحايا بالتفاعل مع المهاجمين.

وتبدأ العملية عادة عبر إنشاء حسابات احترافية على LinkedIn تظهر وكأنها تعود إلى مسؤولين عن التوظيف أو ممثلين لشركات معروفة.

بعد ذلك يتلقى المطور المستهدف عرض عمل أو فرصة تعاون مغرية، قبل أن تتم دعوته إلى اجتماع افتراضي عبر ما يبدو أنه Microsoft Teams أو إحدى منصات الاجتماعات الشهيرة.

لكن الرابط المرسل لا يقود إلى منصة حقيقية، بل إلى موقع مزيف يطلب من الضحية تنزيل ملف بحجة إصلاح مشكلة تقنية أو صوتية قبل بدء الاجتماع.

برمجية AUDIOFIX تمنح المهاجمين سيطرة كاملة

بمجرد تشغيل الملف، يتم تثبيت برمجية خبيثة تحمل اسم AUDIOFIX، وهي أداة مبنية بلغة Python تمنح المهاجمين وصولًا كاملاً إلى الجهاز المصاب.

وتستطيع البرمجية جمع كمية كبيرة من البيانات الحساسة، تشمل:

• كلمات المرور المحفوظة.
• مفاتيح SSH.
• بيانات تسجيل الدخول في المتصفحات.
• إضافات محافظ العملات الرقمية.
• مفاتيح الوصول إلى خدمات AWS والمنصات السحابية.
• جلسات العمل النشطة على Discord وSlack وTelegram.

ويمنح هذا الكم من البيانات المهاجمين قدرة واسعة على التوسع داخل بيئة العمل الخاصة بالشركة المستهدفة.

استهداف مستودعات GitHub وسلاسل التطوير

أحد أخطر جوانب الهجوم يتمثل في سرقة رموز الوصول الخاصة بمنصة GitHub.

فبعد الحصول على هذه البيانات، يستطيع المهاجمون الدخول إلى مستودعات الأكواد البرمجية الخاصة بالشركات وإجراء تعديلات مباشرة عليها.

وبحسب التقرير، يمكن للمهاجمين إدخال تعليمات برمجية خبيثة داخل المشاريع، لتنتشر لاحقًا إلى جميع المطورين الذين يقومون بسحب التحديثات من تلك المستودعات.

وفي إحدى الحالات الموثقة، استغرقت العملية الكاملة من أول تواصل عبر LinkedIn وحتى اختراق بيئة التطوير بالكامل أقل من أسبوعين.

اختراق حزمة برمجية شهيرة للمطورين

في 7 أبريل 2026، نفذت المجموعة واحدة من أخطر عملياتها عبر التلاعب بإصدار 9.4.1 من حزمة npm المعروفة باسم @velora-dex/sdk.

وأضاف المهاجمون بضعة أسطر برمجية خبيثة إلى الحزمة، ما أدى إلى تنزيل باب خلفي يسمى MINIRAT تلقائيًا لدى أي مطور يستخدم الحزمة في مشاريعه.

واللافت أن الهجوم لم يستهدف الشيفرة المصدرية الموجودة على GitHub، بل استهدف بيانات الدخول الخاصة بمنصة npm، ما جعل المستودع الأصلي يبدو سليمًا رغم أن النسخة المنشورة كانت مخترقة.

لماذا يستهدف القراصنة المطورين؟

يرى خبراء الأمن السيبراني أن أجهزة المطورين تمثل أهدافًا عالية القيمة لأنها تحتوي على مفاتيح الوصول إلى العديد من الأنظمة الحساسة داخل الشركات.

فالمطور الواحد يمتلك غالبًا صلاحيات للوصول إلى:

• البنية السحابية.
• قواعد البيانات.
• مستودعات الأكواد.
• أنظمة إدارة الحزم البرمجية.
• واجهات البرمجة الداخلية.

ولهذا فإن اختراق جهاز مطور واحد قد يفتح الطريق أمام المهاجمين للوصول إلى آلاف المستخدمين النهائيين من خلال برمجيات موثوقة يتم توزيعها بشكل رسمي.

مؤشرات تساعد على اكتشاف الهجوم

أشار تقرير Wiz إلى عدد من العلامات التي يمكن أن تساعد فرق الأمن في اكتشاف هذه الأنشطة مبكرًا، من بينها:

• وجود عمليات تعديل غير موثقة على GitHub.
• اختلاف بيانات التوقيع الرقمي للمطورين.
• عمليات رفع أكواد من أجهزة غير معتادة.
• نشاطات مشبوهة مرتبطة بحسابات المطورين.

كما أوضح التقرير أن المجموعة تستخدم خدمات VPN متعددة لإخفاء هويتها، ما يصعب عملية تتبع مصدر الهجمات.

شبهات حول ارتباطات بكوريا الشمالية

رغم عدم وجود أدلة قاطعة حول هوية الجهة المسؤولة، لاحظ الباحثون الأمنيون تشابهًا في أساليب العمل مع مجموعات اختراق مرتبطة سابقًا بكوريا الشمالية.

ومع ذلك، لم يتم العثور حتى الآن على أي بنية تحتية مشتركة أو أدلة تقنية مباشرة تسمح بإسناد الهجمات بشكل رسمي إلى جهة محددة.

وتسلط هذه الحملة الضوء على تصاعد المخاطر الأمنية التي تواجه قطاع العملات الرقمية، خاصة مع تزايد اعتماد الشركات على فرق التطوير الموزعة عالميًا واستخدام منصات التوظيف المهنية كأدوات رئيسية للتواصل والتوظيف.