تعرضت مكتبة Axios الشهيرة، المستخدمة على نطاق واسع كعميل HTTP في بيئة JavaScript، لهجوم سلسلة توريد خطير بعد أن نُشرت نسختان جديدتان من الحزمة على npm تحتويان على اعتماد خبيث يزرع برمجية وصول عن بُعد (RAT) قادرة على إصابة أنظمة ويندوز وماك ولينكس.
تفاصيل الهجوم وآلية الاختراق
النسختان 1.14.1 و0.30.4 من Axios أُضيف إليهما اعتماد مزيف باسم plain-crypto-js@4.2.1. هذا الاعتماد لم يكن جزءًا من الكود الأصلي، بل استُخدم فقط لتشغيل سكربت postinstall خبيث. وفقًا لشركة StepSecurity، نُشرت النسخ عبر بيانات اعتماد npm الخاصة بالمطور الأساسي للمشروع “jasonsaayman” بعد أن تم اختراق حسابه وتغيير بريده الإلكتروني إلى عنوان Proton Mail تحت سيطرة المهاجمين. هذا مكّنهم من تجاوز خط أنابيب CI/CD الخاص بـ GitHub Actions ونشر نسخ مسمومة مباشرة.
حمولة خبيثة متعددة المنصات
السكربت الخبيث المكتوب بـ Node.js يعمل كـ dropper يتصل بخادم تحكم وسيطرة (C2) ويجلب حمولة ثانية مخصصة لكل نظام تشغيل:
- على macOS: يتم تنزيل ملف ثنائي بلغة C++ عبر AppleScript، يُخزن في مجلد النظام ويُشغّل في الخلفية، ثم يُحذف السكربت لإخفاء الأثر.
- على Windows: يُنسخ PowerShell إلى مجلد النظام باسم مضلل، ويُشغّل سكربت VBScript يجلب RAT مكتوب بـ PowerShell، مع آلية بقاء عبر ملف batch ومفتاح تسجيل.
- على Linux: يُنزّل سكربت Python RAT إلى مجلد /tmp ويُشغّل باستخدام nohup، دون آلية بقاء بعد إعادة التشغيل.
جميع النسخ تشترك في بروتوكول اتصال موحد مع الخادم، وتنفذ أوامر مثل استكشاف النظام، تشغيل سكربتات إضافية، وحقن ثنائيات في الذاكرة.
أساليب التمويه والتنظيف
الهجوم تميز بالحرص على إخفاء الأثر؛ فلم يتم تعديل أي ملف من ملفات Axios الأصلية، بل اقتصر التلاعب على الاعتماد المزيف. بعد التنفيذ، يقوم البرنامج الخبيث بحذف سكربت postinstall، واستبدال ملف package.json بآخر نظيف، لتجنب اكتشافه أثناء المراجعة. هذا الأسلوب يجعل الهجوم أكثر خطورة لأنه يتخفى داخل اعتماد ثانوي غير مستخدم في الكود.
ارتباط محتمل بجهات تهديد معروفة
تحليل شركة Elastic Security Labs أشار إلى أن الملف الثنائي الخاص بـ macOS يشترك في سمات مع برمجية خلفية تدعى WAVESHAPER، التي سبق أن نسبت إلى مجموعة تهديد كورية شمالية معروفة باسم UNC1069. هذا يفتح الباب أمام احتمال أن يكون الهجوم جزءًا من حملة أوسع تقودها جهات مدعومة من دولة.
إجراءات عاجلة للمستخدمين
يوصي الخبراء المستخدمين الذين قاموا بتثبيت النسخ الخبيثة باتخاذ خطوات فورية:
- التحقق من وجود النسخ 1.14.1 أو 0.30.4 من Axios.
- البحث عن آثار RAT مثل:
- /Library/Caches/com.apple.act.mond (macOS)
- %PROGRAMDATA%\wt.exe (Windows)
- /tmp/ld.py (Linux)
- الرجوع إلى النسخ الآمنة 1.14.0 أو 0.30.3.
- إزالة الحزمة plain-crypto-js من مجلد node_modules.
- تدوير جميع بيانات الاعتماد والأسرار على النظام.
- مراجعة خطوط CI/CD للتأكد من عدم تثبيت النسخ المسمومة.
- حظر الاتصال بالخادم الخبيث sfrclak[.]com.
كما كشفت شركة Socket عن وجود حزمتين إضافيتين توزعان نفس البرمجية عبر اعتماد مزيف، هما @shadanai/openclaw و@qqbrowser/openclaw-qbot، ما يؤكد أن الهجوم لم يقتصر على Axios وحدها.
