كشفت شركة مايكروسوفت عن تفاصيل هجوم إلكتروني معقد استهدف مكتبة Axios الشائعة، وهي أداة أساسية يستخدمها المطورون حول العالم. تم اكتشاف هذا الهجوم، الذي يعتبر من نوع “سلسلة التوريد”، في إصدارين محدثين من حزمة Axios لمنصة npm.
تم تعديل الإصدارين 1.14.1 و 0.30.4 من Axios لإدراج تعليمات برمجية خبيثة. هذه التعليمات تهدف إلى تثبيت برمجيات ضارة بصمت على أجهزة المطورين دون إخطار المستخدمين أو الفرق التي تعتمد على هذه الحزمة، مما يثير قلقًا كبيرًا في قطاع التكنولوجيا.
هجوم سلسلة التوريد على Axios: تفاصيل ومخاطر
تُعد مكتبة Axios واحدة من أكثر الحزم البرمجية استخدامًا في عالم تطوير الويب وتطبيقات الواجهة الخلفية، حيث تسجل ملايين عمليات التنزيل أسبوعيًا. يعتمد عليها المطورون بشكل كبير لإجراء طلبات HTTP، مما يعني أن أي اختراق لهذه المكتبة يمكن أن يؤثر على آلاف المؤسسات وبيئات الإنتاج.
ووفقًا لتحليلات مايكروسوفت، فإن البنية التحتية وراء هذا الهجوم ترتبط بمجموعة “Sapphire Sleet” المرتبطة بكوريا الشمالية، والتي تنشط منذ مارس 2020. غالبًا ما تستهدف هذه المجموعة المؤسسات المالية، بما في ذلك منصات العملات الرقمية وشركات رأس المال الاستثماري.
تستخدم المجموعة منصات مثل LinkedIn لتوجيه ضحاياها المحتملين نحو ملفات خبيثة مستضافة على خدمات تخزين سحابية يتحكم بها المهاجمون. هذا يشير إلى استراتيجية هجوم منظمة تهدف إلى تحقيق مكاسب مالية.
آلية الهجوم: حقن الاعتماديات الخبيثة
اعتمد الهجوم على إدراج اعتمادية مزيفة باسم “plain-crypto-js” بالإصدار 4.2.1 ضمن إصدارات Axios المخترقة. كانت هذه الاعتمادية تقوم بتشغيل نص برمجي بعد التثبيت يتصل بخادم تحكم وسيط (C2) لتنزيل برمجية وصول عن بعد (RAT) من المرحلة الثانية.
تم تصميم حمولة البرمجية الخبيثة لتتوافق مع أنظمة التشغيل المختلفة، حيث تم توفير نسخ منفصلة لأنظمة ويندوز وماك ولينكس. هذا يضمن القدرة على استهداف مجموعة واسعة من البيئات التطويرية.
ما جعل هذا الهجوم خطيرًا بشكل خاص هو استغلاله ميزة التحديث التلقائي المدمجة في npm. أي مشروع مضبوط لسحب التحديثات الطفيفة أو التصحيحية تلقائيًا لحزمة Axios، كان يمكن أن يتحول بصمت إلى الإصدار المخترق أثناء عملية التثبيت أو التحديث الروتينية.
خطوات التخفيف والحماية
قدمت مايكروسوفت إرشادات واضحة للمؤسسات المتضررة. ينصح بالتراجع عن استخدام إصدارات Axios المخترقة والعودة إلى الإصدارات 1.14.0 أو 0.30.3. كما يجب تدوير أي بيانات اعتماد أو مفاتيح تم الكشف عنها على الأنظمة المخترقة فورًا.
يُدعى المطورون إلى إزالة بادئات مثل caret (^) و tilde (~) من ملفات package.json وتحديد إصدار Axios بشكل دقيق لمنع التحديثات التلقائية. إن تشغيل أمر npm cache clean --force يساعد في مسح أي حزم خبيثة مخزنة مؤقتًا.
يجب على المؤسسات أيضًا مراجعة سجلات CI/CD بحثًا عن أي تثبيتات للإصدارات المتأثرة، وفحص أجهزة المطورين بحثًا عن مجلد plain-crypto-js في دلائل node_modules. بالإضافة إلى ذلك، يُنصح بحظر الاتصالات الصادرة إلى sfrclak[.]com وعنوان IP 142.11.206[.]73 على المنفذ 8000.
يوصى بتكوين أدوات إدارة الاعتماديات الآلية مثل Dependabot أو Renovate لتقييد تحديثات Axios حتى يتم حل التهديد بالكامل. هذه الإجراءات تساهم في تعزيز الأمن السيبراني ضد هذه الأنواع من الهجمات المعقدة.