اختراق مكتبة Axios على npm: هجوم سلسلة توريد كوري شمالي يهدد 83 مليون تحميل أسبوعي

في 30 مارس 2026، استيقظ مجتمع المطورين على واحدة من أخطر هجمات سلسلة التوريد البرمجية هذا العام: اختراق حساب أحد المشرفين الرئيسيين لمكتبة Axios على منصة npm، ونشر نسختين خبيثتين تحتويان على حصان طروادة للوصول عن بُعد (RAT) يستهدف أنظمة Windows وmacOS وLinux في آنٍ واحد. مكتبة Axios — التي تتجاوز تحميلاتها الأسبوعية 83 مليون تحميل — تُستخدم في كل شيء من تطبيقات React الأمامية إلى الخدمات الخلفية في المؤسسات المالية والحكومية.

تفاصيل الهجوم: 39 دقيقة غيّرت المعادلة

تمكّن المهاجمون من الاستيلاء على حساب npm الخاص بأحد المشرفين الرئيسيين للمكتبة (jasonsaayman)، ونشروا نسختين مُعدَّلتين خلال نافذة زمنية لا تتجاوز 39 دقيقة. أضافت النسختان الخبيثتان اعتمادية جديدة باسم plain-crypto-js — حزمة مصممة خصيصاً لهذا الهجوم. عند التثبيت، يُنفَّذ سكربت postinstall يتصل بخادم التحكم والسيطرة (C2) على النطاق sfrclak[.]com:8000 لتحميل وتنفيذ حمولة RAT مخصصة حسب نظام التشغيل.

اللافت أن المهاجمين طوّروا ثلاثة تطبيقات متوازية لنفس الـ RAT — واحد لكل نظام تشغيل — بنفس بروتوكول C2 وبنية الأوامر ونمط الاتصال الدوري (beaconing). هذا ليس ثلاث أدوات منفصلة، بل إطار عمل واحد متعدد المنصات بتطبيقات أصلية لكل نظام.

من يقف وراء الهجوم؟ مجموعة UNC1069 الكورية الشمالية

نسب فريق Google Threat Intelligence Group هذا النشاط إلى مجموعة UNC1069 — فاعل تهديد مرتبط بكوريا الشمالية بدوافع مالية نشط منذ 2018 على الأقل. يستند التنسيب إلى استخدام البرمجية الخبيثة WAVESHAPER.V2، وهي نسخة محدّثة من أداة WAVESHAPER المعروفة لدى هذه المجموعة. تُعرف UNC1069 باستهداف منصات العملات الرقمية والمؤسسات المالية، وقد أصبحت هجمات سلسلة التوريد البرمجية أداة رئيسية في ترسانتها خلال 2025-2026.

لماذا هجمات سلسلة التوريد أخطر مما تتصور؟

تكمن خطورة هذا النوع من الهجمات في أن الكود الخبيث يصل عبر قناة موثوقة — مدير الحزم الرسمي npm — ويُنفَّذ تلقائياً أثناء التثبيت دون أي تفاعل من المطور. في بيئة DevOps الحديثة حيث تعمل أنظمة CI/CD بشكل آلي، قد تُثبَّت الحزمة الخبيثة وتُنشر في بيئة الإنتاج خلال دقائق. وبحسب تقرير IBM X-Force لعام 2026، شهدنا ارتفاعاً بنسبة 44% في استغلال التطبيقات المكشوفة على الإنترنت مقارنة بالعام السابق، كما انخفض متوسط الوقت بين الإعلان عن ثغرة واستغلالها الفعلي من 8.5 إلى 5 أيام فقط.

التأثير على المؤسسات المالية السعودية

المؤسسات المالية السعودية الخاضعة لرقابة مؤسسة النقد (SAMA) ليست بمعزل عن هذا التهديد. كثير من البنوك وشركات التقنية المالية (Fintech) تعتمد على مكتبة Axios في تطبيقاتها المصرفية الرقمية وبوابات الدفع الإلكتروني. إطار عمل SAMA CSCC يُلزم المؤسسات بتطبيق ضوابط صارمة على سلسلة التوريد البرمجية ضمن نطاق "Third Party Security" و"Application Security"، بينما يتطلب إطار NCA ECC التحقق من سلامة المكونات البرمجية قبل نشرها في بيئات الإنتاج.

كذلك فإن نظام حماية البيانات الشخصية (PDPL) يفرض التزامات إضافية: إذا نجح الـ RAT في الوصول إلى بيانات عملاء مصرفيين، فإن المؤسسة ملزمة بالإبلاغ عن الحادثة والتعامل معها وفق متطلبات الإفصاح المنصوص عليها في النظام.

التوصيات والخطوات العملية

1. تدقيق فوري للاعتماديات: استخدم أدوات مثل npm audit وSnyk وSocket.dev للتحقق من عدم وجود النسخ الخبيثة من Axios أو اعتمادية plain-crypto-js في مشاريعكم. ابحثوا في ملفات package-lock.json عبر جميع المستودعات.
2. تفعيل Software Bill of Materials (SBOM): أنشئ قائمة مواد برمجية شاملة لكل تطبيق في بيئة الإنتاج. هذا متطلب ضمني في SAMA CSCC ويُسهّل الاستجابة السريعة عند اكتشاف مكونات مخترقة.
3. تثبيت الإصدارات وقفل الاعتماديات: استخدم package-lock.json أو yarn.lock مع تفعيل --frozen-lockfile في بيئات CI/CD لمنع تثبيت إصدارات غير معتمدة تلقائياً.
4. مراقبة اتصالات الشبكة الشاذة: أضف مؤشرات الاختراق (IoCs) المرتبطة بالنطاق sfrclak[.]com إلى قوائم الحظر في جدار الحماية وأنظمة IDS/IPS. راقب أي اتصالات صادرة غير معتادة من خوادم التطبيقات.
5. تفعيل المصادقة متعددة العوامل (MFA) لحسابات npm: تأكد من أن جميع المطورين الذين ينشرون حزماً داخلية أو يديرون اعتماديات يستخدمون MFA على حساباتهم في npm وGitHub.
6. مراجعة سياسات Third Party Risk Management: حدّث تقييمات مخاطر الأطراف الثالثة لتشمل مخاطر سلسلة التوريد البرمجية، وليس فقط مزودي الخدمات التقليديين، وهو ما يتوافق مع متطلبات SAMA CSCC الفصل 3.3.

الخلاصة

هجوم Axios يُذكّرنا بأن سلسلة التوريد البرمجية أصبحت الحلقة الأضعف في منظومة الأمن السيبراني. مكتبة واحدة مخترقة يمكن أن تفتح باباً خلفياً في مئات التطبيقات خلال دقائق. المؤسسات المالية السعودية التي تعتمد على تطبيقات ويب حديثة يجب أن تتعامل مع أمن سلسلة التوريد البرمجية بنفس جدية تعاملها مع أمن الشبكات والبنية التحتية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، بما يشمل تقييم مخاطر سلسلة التوريد البرمجية وممارسات DevSecOps.