أعلنت Google Threat Intelligence Group (GTIG) أن الهجوم الذي استهدف حزمة Axios الشهيرة عبر منصة npm يعود إلى مجموعة تهديد كورية شمالية تُعرف باسم UNC1069، وهي مجموعة ذات دوافع مالية ولها خبرة طويلة في هجمات سلسلة التوريد. وأوضح جون هالتكويست، كبير المحللين في GTIG، أن هذه المجموعة استخدمت سابقاً مثل هذه الأساليب لسرقة العملات الرقمية، وأن حجم التأثير المتوقع لهذه العملية سيكون واسعاً نظراً لشعبية الحزمة المستهدفة.
آلية الاختراق وتفاصيل البرمجيات الخبيثة
المهاجمون تمكنوا من السيطرة على حساب المطور المسؤول عن Axios على npm، وقاموا بدفع نسختين مزيفتين (1.14.1 و 0.30.4) تحتويان على اعتماد خبيث باسم plain-crypto-js. هذا الاعتماد يستغل خاصية postinstall hook في ملف “package.json” لتنفيذ تعليمات خبيثة بشكل مخفي عند تثبيت الحزمة.
الاعتماد الخبيث عمل كوسيلة لنشر برنامج إسقاط (dropper) يُعرف باسم SILKBELL، يقوم بجلب حمولة إضافية من خادم بعيد وفقاً لنظام التشغيل المستهدف. على ويندوز يتم تثبيت برمجية PowerShell خبيثة، وعلى macOS يتم نشر ملف ثنائي مكتوب بلغة C++، بينما على لينكس يتم تثبيت باب خلفي مكتوب بلغة Python. بعد التنفيذ، يقوم البرنامج بتنظيف نفسه وإزالة أي أثر من ملف “package.json” المعدل.
تطور باب خلفي WAVESHAPER.V2
الحمولة الأساسية التي تم نشرها هي باب خلفي جديد باسم WAVESHAPER.V2، وهو نسخة مطورة من باب خلفي سابق استخدمته المجموعة نفسها منذ عام 2018 لاستهداف قطاع العملات الرقمية. الإصدار الجديد يتميز باستخدام بروتوكول اتصال عبر JSON، وجمع معلومات إضافية عن النظام، ودعم أوامر أكثر مثل:
- kill: لإنهاء العملية.
- rundir: لاستعراض الملفات والمجلدات.
- runscript: لتنفيذ أوامر PowerShell أو AppleScript أو shell.
- peinject: لتشغيل ملفات ثنائية عشوائية.
هذه القدرات تجعل الباب الخلفي أكثر مرونة وقوة مقارنة بالإصدار السابق، مع الحفاظ على بعض السلوكيات المشتركة مثل آلية الاتصال بالخادم كل 60 ثانية واستخدام نفس “User-Agent” غير الشائع.
دلائل إضافية على تورط كوريا الشمالية
الباحثون أشاروا إلى أن النسخة الخاصة بـ macOS تحتوي على مسارات تطوير مرتبطة مباشرة بحملات برمجيات خبيثة سابقة لمجموعة BlueNoroff الكورية الشمالية، مثل RustBucket وHidden Risk. هذا يعزز فرضية أن الهجوم جزء من حملة واسعة النطاق تستهدف المطورين حول العالم عبر منصات متعددة مثل npm وPyPI وNuGet.
إجراءات الحماية الموصى بها
الخبراء ينصحون المؤسسات والمطورين باتخاذ خطوات عاجلة، منها:
- مراجعة شجرة الاعتمادات للتأكد من عدم وجود النسخ المصابة.
- تثبيت نسخة آمنة من Axios وتثبيتها في ملف package-lock.json لمنع التحديثات التلقائية.
- البحث عن وجود plain-crypto-js في مجلد node_modules.
- إنهاء العمليات الخبيثة وعزل الأنظمة المصابة.
- حظر الاتصال بالخادم الخبيث sfrclak[.]com وعنوانه IP: 142.11.206[.]73.
- تدوير جميع بيانات الاعتماد وكلمات المرور المستخدمة في البيئات المتأثرة.
خبراء الأمن مثل ReversingLabs أكدوا أن هذا الهجوم يجب أن يُفهم كنموذج قابل للتكرار وليس حادثة منفردة، نظراً للتخطيط المسبق والدقة العالية في التنفيذ، بما في ذلك استهداف أنظمة تشغيل متعددة في أقل من 40 دقيقة، واستخدام تقنيات لإخفاء الأدلة.
