بعد اختراق أمني استهدف مكتبة Axios الشهيرة لبرمجة JavaScript، حيث نُشرت نسختان خبيثتان منها على سجل npm في 31 مارس 2026، تم اكتشاف أن الهجوم لم يعتمد على ثغرة برمجية. بدلاً من ذلك، لجأ المهاجمون إلى أسلوب الهندسة الاجتماعية، مستهدفين الثقة الممنوحة لمطوّر المكتبة الرئيسية.
تبين أن الهجوم تم عبر حملة مدروسة بعناية استغرقت وقتاً لبناء الثقة مع مسؤول صيانة Axios، مما كشف عن هشاشة عنصر الثقة في سلاسل توريد البرمجيات مفتوحة المصدر.
الهندسة الاجتماعية: مفتاح اختراق Axios
كشفت التحقيقات أن المهاجمين تواصلوا مع مسؤول صيانة Axios، جيسون سايمان، متظاهرين بأنهم يمثلون شركة معروفة، وذلك بهدف بناء علاقة عمل. قام المهاجمون بإنشاء هوية مزيفة للشركة، وإعداد مساحة عمل مشتركة مقنعة على Slack، وعقد اجتماعات محاكاة.
بعد كسب ثقته، نجح المهاجمون في إقناع سايمان بتثبيت برنامج منحهم وصولاً كاملاً عن بعد إلى جهازه. من خلال هذا الوصول، استطاعوا سرقة ملفات تعريف الارتباط والجلسات النشطة في المتصفح، والاستيلاء على بيانات اعتماد npm و GitHub دون إطلاق أي إنذارات أمنية.
تأثير الهجوم وامتداده
قام باحثون في Socket.dev بتحليل مفصل للهجوم، مؤكدين أن الضرر تجاوز المستخدمين المباشرين لمكتبة Axios. وبسبب طريقة تعامل npm مع التبعيات الانتقالية، تضررت آلاف الحزم الأخرى التي تعتمد على Axios بشكل غير مباشر.
كانت هذه الحزمة من بين الأكثر تنزيلاً في نظام JavaScript، وتستخدم على نطاق واسع في التطبيقات وأدوات البناء وخطوط الأنابيب للبنية التحتية. ويعمل على صيانتها عدد قليل من المطورين، غالباً دون دعم مؤسسي كبير.
حماية المطورين: خط الدفاع الأخير
ما جعل هذا الهجوم صعب المنع هو أنه تجاوز إجراءات الأمان التقنية القوية، بما في ذلك المصادقة الثنائية. بما أن المهاجم كان يتحكم في جهاز سايمان، بدت كافة الإجراءات شرعية تماماً بالنسبة لسجل npm.
أقر سايمان لاحقاً بأن الوصول الممنوح للمهاجم كان “كاملاً بغض النظر عما تم إعداده”، حيث أن أنظمة النشر الحالية لا يمكنها اكتشاف وجود مطور شرعي يتصرف بشكل خبيث من جهازه الخاص.
خطوات التعافي والتوصيات
بعد الواقعة، اتخذ سايمان خطوات سريعة، شملت مسح جميع أجهزته، وإعادة تعيين كافة بيانات الاعتماد، والبدء باستخدام مفاتيح الأمان المادية، وتعزيز إجراءات النشر. أكد أن الهجوم كان “هجوماً معروفاً للهندسة الاجتماعية” وأن بيئته تعرضت لسيطرة كاملة.
يعكس هذا الهجوم نمطاً متكرراً، حيث يستثمر المهاجمون وقتاً وجهداً في بناء المصداقية قبل التنفيذ. هذا الأسلوب صعب المواجهة بالوسائل التقنية وحدها، لأن نقطة الدخول هي العنصر البشري. وعندما يؤدي الوصول إلى مطور إلى الوصول إلى الشجرة الكاملة للتبعية، فإن المهاجمين سيعتبرون هذا السبيل ذا قيمة عالية.
تُنصح المؤسسات التي تستخدم Axios بمراجعة تبعياتها وتحديثها فوراً، بينما يُنصح مطورو البرمجيات باستخدام أدوات مسح التبعيات لاكتشاف أي تغييرات غير متوقعة. ويجب على مطوري البرمجيات مفتوحة المصدر، خاصة تلك المستخدمة على نطاق واسع، تبني مفاتيح الأمان المادية، والحد من تعرض الجلسات، واعتبار أجهزتهم الخاصة أهدافاً ذات قيمة عالية.