نقطة

اختراق حزمة Axios على npm في هجوم سلسلة توريد يُنشر حصان طروادة متعدد المنصات

AI Bot
· بواسطة AI Bot
جاري تحميل مشغل تحويل النص إلى كلام الصوتي...

تعرّضت مكتبة axios — وهي واحدة من أكثر الحزم استخداماً في منظومة npm بأكثر من 83 مليون تحميل أسبوعياً — لهجوم على سلسلة التوريد في 30 مارس 2026. نُشر إصداران خبيثان، axios@1.14.1 وaxios@0.30.4، باستخدام بيانات اعتماد مسروقة لأحد المشرفين، وتضمّنا تبعية مخفية تقوم بتثبيت حصان طروادة للوصول عن بُعد (RAT) يعمل على جميع المنصات.

ماذا حدث؟

في الساعة 23:59 بتوقيت UTC يوم 30 مارس، نُشرت حزمة خبيثة تُدعى plain-crypto-js@4.2.1 على npm. وخلال 39 دقيقة، تم تسميم كلا إصداري axios المتأثرين. نُشرت الإصدارات الخبيثة خارج خط أنابيب CI/CD المعتاد لـ Axios — ولا يوجد وسم GitHub مقابل لأي من الإصدارين.

اكتشف نظام Socket الآلي للكشف عن البرمجيات الخبيثة الحزمة المشبوهة في الساعة 00:05:41 بتوقيت UTC يوم 31 مارس، أي بعد ست دقائق فقط من نشرها.

كيف يعمل الهجوم؟

تحقن إصدارات axios المخترقة plain-crypto-js@4.2.1 كتبعية جديدة. هذه الحزمة لا يتم استيرادها في أي مكان في الكود المصدري لـ axios. هدفها الوحيد هو تنفيذ سكريبت postinstall يعمل كمُنزِّل لحصان طروادة يستهدف أنظمة macOS وWindows وLinux.

تستخدم البرمجية الخبيثة نظام تشفير من طبقتين:

  • الطبقة الأولى — ترميز Base64 معكوس مع استبدال الشرطة السفلية
  • الطبقة الثانية — تشفير XOR باستخدام المفتاح OrDeR_7077 والثابت 333

خلال ثانيتين فقط من تنفيذ npm install، كانت البرمجية الخبيثة قد بدأت بالفعل بالاتصال بخادم القيادة والتحكم الخاص بالمهاجم — قبل أن ينتهي npm حتى من حل باقي شجرة التبعيات.

قدرات البرمجية الخبيثة

يستطيع حصان طروادة المُنشر:

  • تنفيذ أوامر عشوائية على الأجهزة المصابة
  • سرقة بيانات النظام وبيانات الاعتماد
  • البقاء نشطاً حتى بعد إعادة التشغيل بآليات خاصة بكل نظام تشغيل
  • تحميل حمولات إضافية حسب نظام التشغيل المستهدف

قام الباحث الأمني جو ديسيموني من Elastic Security بفك تشفير الملف التنفيذي للمرحلة الثانية على macOS، مؤكداً قدرات RAT الكاملة.

السبب الجذري

كشف مشرفو Axios عن ثغرة أمنية رئيسية: "الاستمرار في استخدام رمز npm طويل الأمد إلى جانب النشر الموثوق" هو ما مكّن على الأرجح من الوصول غير المصرح به. تمكّن المهاجم من نشر إصدارات جديدة مباشرة على npm دون المرور عبر سير عمل GitHub Actions الخاص بالمشروع.

مَن المتأثر؟

أي شخص قام بتثبيت أو تحديث axios إلى الإصدار 1.14.1 أو 0.30.4 خلال فترة الـ 39 دقيقة التي كانت فيها الحزم متاحة على npm يجب أن يعتبر جهازه مخترقاً. تمت إزالة الإصدارات الخبيثة وplain-crypto-js من npm.

ماذا يجب أن تفعل؟

  1. تحقق من ملف القفل بحثاً عن axios@1.14.1 أو axios@0.30.4 أو plain-crypto-js
  2. ارجع إلى إصدارات آمنة: axios@1.14.0 أو axios@0.30.3
  3. غيّر بيانات الاعتماد إذا ثبّتت أياً من الإصدارين المخترقين
  4. افحص نظامك بحثاً عن مؤشرات الاختراق
  5. ثبّت إصدارات التبعيات وفعّل تدقيق ملف القفل في خط أنابيب CI/CD

الدلالات الأوسع

يمثل هذا الحادث تذكيراً آخر بهشاشة سلسلة توريد npm. تُستخدم مكتبة Axios عبر أطر عمل الواجهة الأمامية وخدمات الخلفية وتطبيقات المؤسسات حول العالم. سرعة الاكتشاف — ست دقائق — تُظهر أن المراقبة الأمنية الآلية لم تعد خياراً اختيارياً في منظومة البرمجيات مفتوحة المصدر.

المصدر: Socket

هل تريد قراءة المزيد من الأخبار؟ تحقق من أحدث مقال إخباري لدينا على OpenAI تضيف دعم WebSocket لواجهة Responses API مع تقليص زمن الاستجابة بنسبة 40% لوكلاء الذكاء الاصطناعي.
العودة إلى الأخبار

ناقش مشروعك معنا

نحن هنا للمساعدة في احتياجات تطوير الويب الخاصة بك. حدد موعدًا لمناقشة مشروعك وكيف يمكننا مساعدتك.

احجز مكالمة

دعنا نجد أفضل الحلول لاحتياجاتك.