كشفت فرق الأمن السيبراني عن اختراق مجموعة قرصنة مرتبطة بكوريا الشمالية لإحدى أكثر مكتبات JavaScript استخدامًا على الإنترنت، وهي حزمة Axios ضمن منصة npm. يمثل هذا الهجوم، الذي وقع في 31 مارس 2026، تهديدًا كبيرًا لسلسلة توريد البرمجيات، حيث استغل المهاجمون حسابات مشرفين مخترقة لحقن برمجيات خبيثة أثرت على مطورين حول العالم. تُعتبر هذه الحادثة جزءًا من نمط متزايد من هجمات سلسلة توريد البرمجيات التي تستهدف أدوات أساسية يستخدمها الملايين.
استغل المهاجمون، الذين يُعتقد أنهم جزء من مجموعة STARDUST CHOLLIMA الكورية الشمالية، بيانات اعتماد مسروقة للوصول إلى حزمة Axios، وهي مكتبة شائعة لطلبات HTTP تستخدم على نطاق واسع في تطوير الويب. يقوم المطورون بتنزيل Axios أكثر من 100,000 مرة أسبوعياً، مما يجعلها هدفاً مهماً لأي جهة تسعى للوصول إلى أكبر عدد من الأنظمة.
بفضل هذا الاختراق، تمكنت الجهات الفاعلة من توزيع برمجيات خبيثة بصمت على أي شخص قام بتثبيت أو تحديث حزمة Axios خلال فترة الاختراق.
هجوم سلسلة توريد البرمجيات على حزمة Axios
قامت باحثو CrowdStrike Counter Adversary Operations بتحديد هذا النشاط، ونسبوه بدرجة معتدلة إلى مجموعة تهديدات كورية شمالية تُعرف باسم STARDUST CHOLLIMA. وقد لاحظ المحللون وجود تداخل في البنية التحتية مع مجموعة كورية شمالية أخرى تُدعى FAMOUS CHOLLIMA.
ومع ذلك، فإن التطور التقني في إصدارات برمجية ZshBucket المستخدمة في هذا الهجوم يشير بقوة إلى STARDUST CHOLLIMA كجهة فاعلة أساسية. تُعرف هذه المجموعة بتاريخ طويل في استهداف مشتقات العملات المشفرة وشركات التكنولوجيا المالية عبر هجمات سلسلة توريد البرمجيات التي تستهدف مستودعات npm و PyPI.
بالنظر إلى أن Axios مدمجة في عدد لا يحصى من تطبيقات الويب وسير عمل المطورين عالمياً، فإن قدرة المجموعة على الوصول إلى الأهداف المالية على نطاق واسع عبر حزمة واحدة مخترقة تثير قلقاً بالغاً.
تُقيّم CrowdStrike أن الدافع المرجح لهذه الهجمات هو تحقيق مكاسب مالية، لا سيما توليد العملات، وهو ما يتفق مع نمط عمليات المجموعة طويل الأمد. شهدت STARDUST CHOLLIMA زيادة كبيرة في وتيرة عملياتها منذ نهاية عام 2025، ويعكس هذا الحادث عزم المجموعة على توسيع نطاق عملياتها.
لا يزال العدد الدقيق للمستخدمين المتأثرين غير واضح، ولكن الحجم الكبير لتنزيلات حزمة Axios الأسبوعية يشير إلى أن هذا الاختراق لسلسلة توريد البرمجيات قد تكون له عواقب بعيدة المدى عبر مجتمع تطوير البرمجيات العالمي.
قدرات ZshBucket القيادية الموسعة
تطورات برمجية خطيرة
ما يجعل هذا الهجوم مقلقاً بشكل خاص هو مدى تطور الإصدار الجديد من ZshBucket. في حملات سابقة، كانت ZshBucket قادرة فقط على تنزيل الملفات وتنفيذها، وهي وظيفة بسيطة نسبياً. في هذا الحادث، تلقت البرمجية الخبيثة ترقية كبيرة منحت المهاجمين سيطرة أكبر بكثير على الأنظمة المخترقة.
بروتوكول اتصال موحد
تستخدم إصدارات ZshBucket المحدثة الآن بروتوكول رسائل شائع يعتمد على JSON، ويعمل بشكل متناسق عبر أنظمة Linux و macOS و Windows. يسمح هذا التوحيد للمشغلين بإدارة جميع الأجهزة المصابة من خلال قناة اتصال موحدة واحدة. تتصل البرمجية الخبيثة بخادم القيادة والتحكم (C2) على النطاق sfrclak[.]com، الموجود على عنوان IP 142.11.206[.]73.
عمليات استكشاف وقدرات تحكم
يمكن للمشغلين حقن حمولات ثنائية في أجهزة الضحايا، وتنفيذ نصوص أوامر عشوائية، واستكشاف نظام الملفات، وعن بُعد إنهاء زرع البرمجية الخبيثة عند الحاجة. تكشف بنية C2 أيضاً عن روابط أعمق مع عمليات الأمن السيبراني الكورية الشمالية.
بنية تحتية مشتركة
يشارك النطاق sfrclak[.]com خصائص خادم تعريفية مع عنواني IP إضافيين – 23.254.203[.]244، وهو عنوان معروف لـ STARDUST CHOLLIMA ونشط منذ ديسمبر 2025، و 23.254.167[.]216، والذي استخدم سابقاً كخادم C2 لبرمجية InvisibleFerret الخبيثة الخاصة بـ FAMOUS CHOLLIMA في مايو 2025. تم تسجيل النطاق عبر Hostwinds، بما يتفق مع أنماط البنية التحتية السابقة لـ STARDUST CHOLLIMA.
يجب على المطورين الذين يستخدمون حزمة Axios npm فحص بيئاتهم على الفور بحثًا عن علامات الاختراق. يُنصح المؤسسات بالتحقق من سلامة الحزم قبل النشر، وتمكين أدوات تحليل تكوين البرمجيات ضمن خطوط أنابيب CI/CD، وتدوير أي بيانات اعتماد مرتبطة بحسابات مشرفي npm، ومراقبة الاتصالات الصادرة عن كثب لأي حركة مرور غير عادية إلى نطاقات غير معروفة.
يجب على فرق الأمان التعامل مع أي اتصال مع sfrclak[.]com أو عناوين IP المرتبطة به كمؤشر قوي على الاختراق، والتحقيق في تلك الأنظمة دون تأخير.