اختراق مكتبة Axios عبر npm: هجوم سلسلة توريد كوري شمالي يهدد 100 مليون تحميل أسبوعياً

في 31 مارس 2026، نجحت مجموعة التهديد الكورية الشمالية UNC1069 — المعروفة لدى مايكروسوفت باسم Sapphire Sleet — في اختراق حساب المشرف الرئيسي لمكتبة Axios على منصة npm، وزرعت باباً خلفياً متعدد المنصات في إصدارين رسميين حُمِّلا من قِبل آلاف المطورين حول العالم خلال ثلاث ساعات فقط. هذا الاختراق لم يكن تقنياً بحتاً بل بدأ بحملة هندسة اجتماعية مُحكمة استهدفت إنساناً واحداً ليصل المهاجمون إلى 100 مليون عملية تحميل أسبوعية.

ما الذي حدث بالضبط في اختراق Axios npm؟

بين الساعة 00:21 و03:20 بتوقيت UTC يوم 31 مارس 2026، نشر المهاجمون إصدارين مُسمَّمين من مكتبة Axios هما 1.14.1 و0.30.4 عبر حساب المشرف المُخترَق. أضاف المهاجمون اعتمادية خبيثة باسم plain-crypto-js وهي في الحقيقة أداة إسقاط مُعتَّمة (obfuscated dropper) تقوم بتنزيل وتشغيل الباب الخلفي WAVESHAPER.V2 على أنظمة Windows وmacOS وLinux. أكد فريق Google Threat Intelligence أن الهجوم بدأ بحملة هندسة اجتماعية متقنة استهدفت المشرف شخصياً عبر منصات التواصل، مما مكّن المهاجمين من الوصول إلى بيانات اعتماد حسابه على npm دون الحاجة لاستغلال ثغرة تقنية في المنصة نفسها.

لماذا يُعدّ هذا الاختراق استثنائياً في خطورته؟

مكتبة Axios ليست حزمة هامشية — إنها موجودة في نحو 80% من بيئات التطوير السحابية وتُحمَّل أكثر من 100 مليون مرة أسبوعياً وفقاً لإحصائيات npm. تستخدمها آلاف التطبيقات المصرفية وبوابات الدفع وتطبيقات الهاتف المحمول لإجراء اتصالات HTTP مع الخوادم الخلفية. الباب الخلفي WAVESHAPER.V2 قادر على سرقة متغيرات البيئة (environment variables) التي تحتوي عادةً على مفاتيح API وبيانات اعتماد قواعد البيانات ورموز الوصول للخدمات السحابية مثل AWS وAzure. رغم إزالة الإصدارات الخبيثة خلال ثلاث ساعات، حذّرت Google من أن التأثير قد يكون "بعيد المدى" نظراً لآليات التخزين المؤقت في أدوات البناء وخطوط CI/CD التي ربما حفظت نسخاً من الحزمة المصابة.

مجموعة UNC1069: ذراع بيونغ يانغ المالية في الفضاء السيبراني

أكدت كل من Google وMicrosoft نسب الهجوم لمجموعة UNC1069 الكورية الشمالية، وهي مجموعة تهديد ذات دوافع مالية تعمل ضمن منظومة أوسع لتمويل برنامج بيونغ يانغ للأسلحة. تتخصص هذه المجموعة في استهداف سلاسل التوريد البرمجية، وقد سبق لها استهداف مكتبات مفتوحة المصدر أخرى خلال 2025 و2026. نشرت وكالة الأمن السيبراني في سنغافورة (CSA) تحذيراً رسمياً عاجلاً، فيما عقد معهد SANS جلسة طوارئ لتحليل الحادثة. يُظهر هذا الهجوم تحولاً خطيراً في تكتيكات المجموعات الكورية الشمالية من استهداف منصات العملات الرقمية إلى تسميم البنية التحتية البرمجية التي تعتمد عليها المؤسسات المالية التقليدية.

التأثير المباشر على المؤسسات المالية السعودية

القطاع المالي السعودي يعتمد بشكل متزايد على تطبيقات الويب والهاتف المحمول المبنية باستخدام أطر عمل مثل React وNext.js وVue.js، وجميعها تستخدم Axios كمكتبة أساسية لاتصالات HTTP. أي بنك أو شركة تأمين أو شركة تقنية مالية (FinTech) تستخدم خط بناء CI/CD قام بتحديث تلقائي لمكتبة Axios خلال نافذة الثلاث ساعات تلك قد تكون تأثرت. يتطلب إطار SAMA CSCC في المجال الثالث (Third-Party Risk Management) من المؤسسات المالية تقييم مخاطر سلسلة التوريد البرمجية بشكل دوري، بينما يُلزم إطار NCA ECC في ضابط أمن التطبيقات بإجراء فحص لمكونات البرمجيات مفتوحة المصدر قبل اعتمادها في بيئات الإنتاج. هذه الحادثة تُثبت أن الامتثال الشكلي لا يكفي — المطلوب هو قدرات رصد وتحقق مستمرة.

التوصيات والخطوات العملية لحماية مؤسستك

1. تدقيق فوري لملفات القفل (lockfiles): افحص ملفات package-lock.json وyarn.lock في جميع المشاريع للتأكد من عدم وجود الإصدارين المصابين 1.14.1 أو 0.30.4 من Axios أو أي اعتمادية باسم plain-crypto-js.
2. مراجعة سجلات CI/CD: راجع سجلات خطوط البناء للفترة بين 31 مارس 00:00 و03:30 UTC وابحث عن أي عملية npm install أو yarn install نفّذت تحديثاً لـ Axios خلال تلك النافذة الزمنية.
3. تفعيل أدوات فحص التركيب البرمجي (SCA): أدوات مثل Snyk وSonatype Nexus وSocket.dev قادرة على اكتشاف الحزم الخبيثة والتغييرات المشبوهة في الاعتماديات تلقائياً — اجعلها بوابة إلزامية في خط البناء.
4. تطبيق مبدأ التثبيت الصارم (pinning): لا تستخدم النطاقات المفتوحة مثل ^1.x في إصدارات الحزم. ثبّت الإصدارات بدقة واستخدم npm audit signatures للتحقق من توقيعات الحزم.
5. تدوير المفاتيح والأسرار: إذا تأكدت من تشغيل الإصدار المصاب ولو لثوانٍ، عامل جميع المتغيرات البيئية ومفاتيح API وبيانات الاعتماد المخزنة في البيئة على أنها مكشوفة وقم بتدويرها فوراً.
6. تحديث سجل المكونات البرمجية (SBOM): حدّث سجل SBOM لجميع التطبيقات وتأكد من تسجيل مصدر كل مكتبة مفتوحة المصدر وإصدارها ومُشرفيها — هذا مطلب متزايد الأهمية في تدقيقات SAMA.

الخلاصة

اختراق Axios ليس مجرد حادثة أمنية عابرة — إنه تذكير بأن سلسلة التوريد البرمجية أصبحت الهدف المفضل لمجموعات التهديد المتقدمة. المؤسسات المالية السعودية التي تبني تطبيقاتها على مكتبات مفتوحة المصدر دون رقابة مستمرة تُعرّض نفسها لمخاطر لا تقل خطورة عن الهجمات المباشرة. الحماية الحقيقية تبدأ بمعرفة ما يعمل داخل أنظمتك — كل سطر كود وكل اعتمادية وكل مشرف يملك صلاحية النشر.

هل مؤسستك مستعدة لمواجهة هجمات سلسلة التوريد البرمجية؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وبناء برنامج أمن سلسلة التوريد يحمي تطبيقاتك من الداخل.