اتهامات لقراصنة كوريين شماليين باختراق مشروع Axios لنشر برمجيات خبيثة

عادةً ما يبدأ يوم المطوّر بأمر بسيط: تثبيت مكتبة، تحديث حزمة، أو سطر برمجي صغير لا يستغرق أكثر من ثوانٍ. في تلك اللحظة تحديداً، لا يتوقع أحد أن يتحول هذا الروتين اليومي إلى بوابة اختراق خفي. هذا ما حدث عندما جرى تسميم مكتبة Axios الشهيرة على منصة npm، في واحدة من أخطر هجمات سلسلة التوريد البرمجية خلال الأشهر الأخيرة.

المهاجم نجح في الاستيلاء على حساب أحد المطورين الرئيسيين لمكتبة Axios، وهي مكتبة JavaScript تُستخدم لإجراء طلبات HTTP وتعتمد عليها ملايين التطبيقات حول العالم. خلال ساعات قليلة، نُشرت نسختان خبيثتان من المكتبة، أُضيفت إليهما تبعية مخفية تحمل شيفرة ضارة.

الخطورة هنا لا تكمن فقط في الكود الخبيث، بل في طبيعة Axios نفسها. المكتبة تُحمَّل عشرات الملايين من المرات أسبوعياً، ما يعني أن أي تحديث غير موثوق قد ينتشر بسرعة هائلة داخل مشاريع الإنتاج، وخوادم الشركات، ومنصات السحابة.

النسخ المصابة لم تحتوِ الشيفرة الضارة مباشرة، بل استعانت بحزمة خارجية أُعدّت خصيصاً لتعمل كحصان طروادة. بمجرد تشغيل أمر التثبيت npm install، كانت الحزمة تقوم بتحميل برمجية تحكم عن بعد تعمل على أنظمة ويندوز وماك ولينكس.

البرمجية صُممت بذكاء لتُزيل آثارها بعد التنفيذ، وتحذف ملفاتها المؤقتة، بل وتستبدل بياناتها بإصدار نظيف ظاهرياً. أي فحص لاحق قد لا يُظهر شيئاً غير طبيعي، وهو ما يعقّد التحقيقات الجنائية الرقمية ويصعّب رصد الاختراق.

بحسب باحثين في Google Threat Intelligence، تشير الأدلة إلى تورط مجموعة يُعتقد ارتباطها بكوريا الشمالية، معروفة باستهدافها لمشاريع العملات الرقمية وسلاسل الإمداد البرمجية. هذا النمط ليس جديداً؛ فالهجوم يشبه عمليات سابقة استهدفت مكتبات مفتوحة المصدر بهدف زرع برمجيات للوصول البعيد وسرقة بيانات اعتماد.

اختراق حساب مطوّر واحد مكّن المهاجم من تجاوز آليات الثقة بالكامل. لم يتم اختراق الشيفرة عبر طلبات دمج مشبوهة أو مستودع GitHub، بل عبر عملية نشر مباشرة إلى سجل npm، خارج خط CI المعتاد.

الهجمات على سلسلة التوريد تمنح المهاجمين قدرة على الوصول إلى آلاف أو حتى ملايين الأنظمة دفعة واحدة. بدلاً من إقناع كل مستخدم بتحميل ملف ملغوم، يكفي تلويث مكوّن يعتمد عليه الجميع. إنها مقاربة أكثر هدوءاً، لكنها أوسع أثراً.

اللافت أن هذا الهجوم يأتي ضمن موجة متصاعدة من استهداف بيئات التطوير، من حزم PyPI إلى إضافات VS Code المزيفة، وصولاً إلى حملات تصيّد عبر GitHub Discussions. المطور أصبح هدفاً مباشراً، لا وسيطاً.

المفارقة أن أفضل ممارسة أمنية طالما كانت التحديث المستمر. لكن في عالم الهجمات على سلسلة التوريد، قد يكون التحديث التلقائي سيفاً ذا حدين. أنظمة تعتمد على أحدث إصدار بشكل فوري وجدت نفسها تشغّل حمولة خبيثة خلال أقل من دقيقتين من نشرها.

الشركات الأمنية نصحت باعتبار أي نظام ثبّت الإصدارات المصابة مخترقاً بالكامل، مع تدوير بيانات الاعتماد وفحص آليات البقاء. الأمر لا يتعلق بتنظيف ملف واحد، بل بإعادة تقييم بيئة التطوير بأكملها.

ما تكشفه حادثة Axios يتجاوز مكتبة واحدة. الثقة التي يقوم عليها النظام البيئي مفتوح المصدر أصبحت خط دفاع أول، وأضعف نقطة في الوقت ذاته. ومع انتقال المهاجمين من كسر الأبواب إلى تسجيل الدخول بمفاتيح مسروقة، يبدو أن أمن البرمجيات لم يعد مسألة كود فحسب، بل مسألة هوية وثقة وسلوك يومي صغير قد يُغيّر كل شيء.