كشفت تقارير أمنية حديثة عن تعرض منظومة تطوير البرمجيات لهجوم إلكتروني واسع النطاق، بعد تسلل برمجيات خبيثة إلى حزمة “axios” المستخدمة على نطاق واسع. ويعتبر هذا الهجوم، الذي استهدف أنظمة ويندوز وماك ولينكس، واحداً من أبرز حوادث اختراق سلاسل توريد البرمجيات في الآونة الأخيرة، مما يثير قلق المطورين والشركات حول العالم.
تم نشر الإصدارات المخترقة، Axios 1.14.1 و 0.30.4، والتي تضمنت في طياتها حزمة “plain-crypto-js” الخبيثة. وبحسب المعلومات، أدى تثبيت هذه الإصدارات إلى تسليم برمجية الواجهة الخلفية (backdoor) المسماة WAVESHAPER.V2 إلى أنظمة المستخدمين دون علمهم، مما يفتح الباب أمام الوصول غير المصرح به.
هجوم سلسلة توريد البرمجيات الذي استهدف حزمة axios
تكمن خطورة هذا الهجوم في الانتشار الواسع لحزمة “axios”، التي تعتبر من أكثر المكتبات شيوعاً لمعالجة طلبات HTTP في تطوير الويب. هذا الانتشار يعني أن أي تحديث مخترق قد يؤثر على أجهزة المطورين، وخوادم البناء، وخطوط الإنتاج المتكاملة والمستمرة (CI/CD)، بالإضافة إلى التطبيقات النهائية التي تعتمد على الحزم الرسمية.
وبحسب الباحثين في Google Cloud، يبدو أن المهاجمين قد تمكنوا من اختراق حساب أحد المشرفين على حزمة axios، وقاموا بتغيير البريد الإلكتروني المرتبط بالحساب، ثم أضافوا الإصدار 4.2.1 من حزمة “plain-crypto-js” إلى الحزمة الأصلية. وقد ربطت فرق التحقيق هذا النشاط بمجموعة التهديد UNC1069، المرتبطة بكوريا الشمالية والتي تعمل بدافع مالي.
آلية عمل الاختراق
تتميز هذه الحملة بقدرتها العالية على التخفي، حيث لم تعتمد على فتح ملفات أو النقر على روابط. بدلاً من ذلك، استغل المهاجمون عملية تثبيت حزمة “axios” العادية من خلال آلية “postinstall hook”. سمح هذا الأمر بتشغيل التعليمات البرمجية الخبيثة في الخلفية فور تثبيت الحزمة الملوثة.
تمحورت سلسلة الإصابة حول برمجية خبيثة مكتوبة بلغة جافاسكريبت، تُعرف باسم setup.js. عند تشغيلها، كانت السكربت تتحقق من نظام التشغيل وتقوم بتسليم حمولة (payload) مختلفة لكل منصة. وعلى نظام ويندوز، كانت تبحث عن “powershell.exe” وتقوم بنسخه إلى مسار آخر للتمويه، ثم تحمل مرحلة إضافية عبر curl وتنفذها بخيارات تخفي وتنفيذ غير مقيدة.
على أنظمة ماك، كانت تستخدم bash و curl لوضع ملف ثنائي (Mach-O binary) في مسار محدد، وتغيير أذونات الملف، ثم تشغيله عبر zsh. أما في أنظمة لينكس، فقد كانت تقوم بتحميل برمجية الواجهة الخلفية بلغة بايثون إلى مسار مؤقت.
لم تتوقف البرمجية الخبيثة عند هذا الحد، بل حاولت إخفاء آثارها. أظهر تحليل Google Cloud أن setup.js حاولت حذف نفسها بعد تسليم المرحلية التالية، واستعادة ملف package.json المعدل من نسخة محفوظة لتصعيب عمليات المراجعة الجنائية. بعدها، بدأت الواجهة الخلفية WAVESHAPER.V2 في التواصل مع خادم القيادة والتحكم بشكل دوري عبر منفذ 8000، باستخدام تشفير Base64.
التداعيات وسبل الحماية
توفر برمجية WAVESHAPER.V2 للمهاجمين أكثر من مجرد وصول عن بعد؛ فهي قادرة على جمع تفاصيل النظام، وسرد الملفات والمجلدات، وتنفيذ أوامر إضافية. وعلى نظام ويندوز، يمكن للبرمجية أن تضمن استمراريتها عن طريق إنشاء ملف دفعي مخفي وإضافة إدخال في سجل ويندوز لضمان التشغيل التلقائي عند تسجيل الدخول.
بالنسبة للفرق الأمنية، يجب أن يبدأ الرد فوراً بالتحكم في الحزم واحتواء الأنظمة المصابة. تنصح Google المؤسسات بتجنب الإصدارات 1.14.1 و 0.30.4 من Axios، وتثبيت المشاريع على إصدارات معروفة وآمنة مثل 1.14.0 أو أقدم، أو 0.30.3 أو أقدم. كما يجب التحقق من ملفات القفل (lockfiles) للتأكد من خلوها من الإصدارات 4.2.0 أو 4.2.1 من plain-crypto-js.
يجب اعتبار أي نظام قام بتثبيت التبعية الضارة معرضاً للاختراق، ويجب إعادة بنائه أو استعادته من نسخة احتياطية آمنة. يتبع ذلك بخطوات لتدوير الأسرار، مثل الرموز (tokens) ومفاتيح API، التي قد تكون موجودة على الجهاز. كما ينبغي على الفرق الأمنية إيقاف مهام CI/CD المتأثرة، ومسح ذاكرة التخزين المؤقت لأدوات إدارة الحزم مثل npm و yarn و pnpm، وحظر الاتصالات بالجهات الخبيثة المعروفة، ومراقبة العمليات الفرعية المشبوهة التي قد تنشأ من تطبيقات Node.js.
الدرس المستفاد هنا واضح: يمكن للحزم الموثوقة مفتوحة المصدر أن تصبح نقاط دخول للهجمات دون سابق إنذار. في هذه الحالة، استغل المهاجمون سلوكيات المطورين الروتينية، وهي تثبيت الحزم، للانتقال من تحديث برمجي إلى اختراق كامل عبر المنصات. في ظل تغلغل Axios بعمق في العديد من أشجار التبعية، تحتاج المؤسسات الآن إلى مراجعة ليس فقط التثبيتات المباشرة، ولكن أيضاً التعرض المتوارث عبر خطوط الإنتاج والأدوات الداخلية وخدمات الإنتاج. في حال وجود plain-crypto-js، يجب على المدافعين افتراض أن البرمجية الخبيثة قد تجاوزت الجهاز الأول، والتحقق من الأنظمة المجاورة بحثاً عن نشاط ذي صلة. السرعة هي مفتاح الحل، والاحتواء المبكر يمكن أن يحد من الاستخدام اللاحق.