أكد جيسون سايمن، المشرف على حزمة Axios الشهيرة في سجل npm، أن الاختراق الأخير كان نتيجة حملة هندسة اجتماعية دقيقة نفذها مهاجمون مرتبطون بكوريا الشمالية، وتحديداً المجموعة المعروفة باسم UNC1069. المهاجمون تواصلوا معه متقمصين هوية مؤسس شركة معروفة، وأنشأوا مساحة عمل مزيفة على Slack تحمل هوية بصرية مقنعة، تضمنت قنوات لمشاركة منشورات من LinkedIn، ما عزز مصداقية الخداع.
لاحقاً، دعوه إلى اجتماع عبر Microsoft Teams، حيث ظهر له خطأ تقني مزيف يطلب تحديث النظام. بمجرد تنفيذ “التحديث”، تم زرع حصان طروادة للتحكم عن بعد (RAT) مكّنهم من سرقة بيانات حسابه على npm ونشر نسختين مزيفتين من Axios (1.14.1 و0.30.4) تحتويان على برمجية خبيثة باسم WAVESHAPER.V2.
سلسلة الهجوم وأدوات البرمجيات الخبيثة
التحقيقات أوضحت أن سلسلة الهجوم تتشابه مع أساليب BlueNoroff وGhostCall التي وثقتها شركات مثل Huntress وKaspersky. بعد زرع البرمجية، تم نشر أدوات إضافية مثل CosmicDoor على macOS ونسخة Go على Windows، وكلاهما يفتح الباب أمام مجموعة سرقة بيانات شاملة تعرف باسم SilentSiphon، تستهدف بيانات الاعتماد من المتصفحات ومديري كلمات المرور، إضافة إلى أسرار مرتبطة بمنصات تطوير مثل GitHub وGitLab وBitbucket وnpm وYarn وPython pip وRubyGems وRust وNuGet.
كما رصدت Mandiant في فبراير 2026 نشر برمجية WAVESHAPER المكتوبة بلغة ++C، والتي تعمل كقناة لتنزيل برمجيات إضافية مثل HYPERCALL وSUGARLOADER وHIDDENCALL وSILENCELIFT وDEEPBREATH وCHROMEPUSH.
استهداف واسع لمجتمع المصادر المفتوحة
الخطورة تكمن في أن Axios يُستخدم على نطاق واسع، إذ يسجل نحو 100 مليون تحميل أسبوعياً ويُعتبر أساسياً في بيئة JavaScript. هذا يعني أن أي نسخة مسمومة تنتشر بسرعة عبر الاعتمادات المباشرة وغير المباشرة. الباحث أحمد نصري من Socket أشار إلى أن اختراق حزمة بهذا الحجم يوضح صعوبة تقييم حجم التعرض في بيئة تعتمد على حلول npm المعقدة.
الهجوم لم يكن معزولاً، بل جزءاً من حملة منسقة استهدفت أسماء بارزة في مجتمع Node.js، مثل جوردان هارباند (مشرف ECMAScript)، جون-ديفيد دالتون (مبتكر Lodash)، وماتيو كولينا (مشرف Fastify وPino وUndici)، إضافة إلى مطوري مكتبات شهيرة مثل dotenv وmocha وtype-fest. في بعض الحالات، حاول المهاجمون استدراج الضحايا عبر دعوات لبودكاست مزيف أو منصات بث حي مزورة مثل Streamyard، مع رسائل خطأ تقنية مقنعة تطلب تنزيل تطبيقات أو تنفيذ أوامر curl.
دلالات أمنية وإجراءات وقائية
هذا التحول من استهداف مؤسسي العملات المشفرة والمستثمرين إلى مشرفي المشاريع مفتوحة المصدر يمثل تطوراً مقلقاً، إذ يسمح للمهاجمين بالوصول إلى المستخدمين النهائيين على نطاق واسع عبر نشر نسخ ملوثة من مكتبات أساسية. سايمن أشار إلى أنه اتخذ خطوات وقائية مثل إعادة ضبط الأجهزة والاعتمادات، اعتماد إصدارات غير قابلة للتعديل، استخدام تدفق OIDC للنشر، وتحديث إجراءات GitHub Actions وفق أفضل الممارسات.
الهجوم يسلط الضوء على هشاشة سلسلة توريد البرمجيات المفتوحة المصدر، ويؤكد أن مشرفي الحزم أصبحوا أهدافاً رئيسية في حملات هندسة اجتماعية متطورة، ما يستدعي تعزيز الوعي الأمني وتبني أدوات حماية متقدمة لضمان سلامة النظام البيئي البرمجي العالمي.
