هجوم سلسلة التوريد على Axios: UNC1069 تزرع WAVESHAPER.V2 في 80% من بيئات السحابة

في ساعات الفجر من الحادي والثلاثين من مارس 2026، نجحت مجموعة التهديد الكورية الشمالية UNC1069 في اختراق حزمة Axios — الأكثر استخداماً في مشاريع JavaScript عالمياً — وزراعة الباب الخلفي WAVESHAPER.V2 داخل إصدارين مُحمَّلَين 100 مليون مرة أسبوعياً. هذا الهجوم لم يطل مشروعاً واحداً، بل ضرب 80% من بيئات السحابة حول العالم في غضون ثلاث ساعات فقط.

كيف نجحت UNC1069 في اختراق Axios؟

لم يكن الاختراق ثغرة تقنية كلاسيكية، بل كان هجوم هندسة اجتماعية موجَّهاً استهدف المشرف البشري على الحزمة. نجحت المجموعة في انتحال هوية مطور موثوق، وأقنعت مشرف الحزمة بإدراج اعتماد خبيث يحمل اسم "plain-crypto-js" — مكوّن يبدو بريئاً لكنه يحمل الحمولة الخبيثة WAVESHAPER.V2. دخلت الإصدارات المخترقة 1.14.1 و0.30.4 سجلَّ npm بين 00:21 و03:20 بالتوقيت العالمي، واستُهدفت بيئات macOS وWindows وLinux على حدٍّ سواء. وبحسب تقييم شركة Wiz، يتجاوز عدد تنزيلات Axios 100 مليون مرة أسبوعياً، مما يعني أن نافذة ثلاث ساعات كانت كافية لإصابة آلاف بيئات الإنتاج قبل اكتشاف الأمر.

مجموعة UNC1069: جهة التهديد المالي بامتياز

رصدت Google Threat Intelligence Group هذه المجموعة منذ عام 2018 بوصفها جهة تهديد ذات دوافع مالية مرتبطة بكوريا الشمالية. تستهدف UNC1069 بشكل رئيسي شركات العملات المشفرة ومنصات DeFi والمؤسسات المالية، وكانت متورطة في هجمات بارزة سابقاً من بينها اختراق Drift Protocol بقيمة 285 مليون دولار. ما يميزها هو قدرتها على الصمود لأشهر دون رصد؛ فهجوم Axios لم يكن عملية ارتجالية، بل كان الضربة الختامية لحملة هندسة اجتماعية ممتدة. تستخدم WAVESHAPER.V2 آليات متطورة للاستمرارية والتخفي، مع قنوات C2 مشفرة تجعل اكتشافها عبر جدران الحماية التقليدية أمراً عسيراً.

التأثير على المؤسسات المالية السعودية

تعتمد غالبية تطبيقات الويب والـ APIs في القطاع المالي السعودي على مكتبات JavaScript من بيئة npm، وAxios تحديداً تُعدّ من الاعتماديات الجوهرية في مشاريع الخدمات المصرفية الرقمية. يُوجب نظام SAMA CSCC على المؤسسات إجراء تقييم مستمر لمخاطر سلسلة التوريد، بما يشمل التحقق من سلامة حزم المصدر المفتوح وفق الضابط 3-3 (إدارة مخاطر أطراف العلاقة). كذلك تشترط ضوابط NCA ECC التحقق من المكونات البرمجية قبل نشرها في بيئات الإنتاج الحساسة. المؤسسات التي لا تمتلك نظام Software Composition Analysis (SCA) معافًى من هذا الحادث كانت تتعرض لخطر الاختراق دون علم، وهو ما قد يُشكّل انتهاكاً محتملاً لمتطلبات تطوير البرمجيات الآمنة في SAMA CSCC، إضافة إلى أحكام المادة 9 من نظام PDPL المتعلقة بحماية البيانات الشخصية.

التوصيات والخطوات العملية

1. تحقق فورياً من وجود الإصدارات المخترقة: ابحث في جميع ملفات package.json وpackage-lock.json عن axios@1.14.1 أو axios@0.30.4 أو plain-crypto-js بأي إصدار، وقم بالتحديث إلى axios@1.14.2 أو أحدث على الفور.
2. فعّل Software Composition Analysis في CI/CD: أدمج أدوات مثل Snyk أو Dependabot أو OWASP Dependency-Check في خط الأنابيب للكشف عن الاعتماديات الخبيثة قبل وصولها إلى بيئات الإنتاج.
3. طبّق سياسة التحقق من سلامة الحزم: فعّل npm audit مع npm audit signatures للتحقق من تواقيع الحزم، وفعّل Sub-Resource Integrity (SRI) في مشاريع الواجهة الأمامية.
4. راجع سجلات EDR والشبكة للفترة 31 مارس - 2 أبريل 2026: ابحث عن اتصالات خارجية غير معتادة من خوادم Node.js أو حاويات Docker، مع التركيز على المنافذ المشفرة غير القياسية التي تستخدمها WAVESHAPER.V2.
5. بنِ سجل SBOM (Software Bill of Materials): وثّق جميع مكونات البرمجيات في التطبيقات الحساسة — وهو توجه تنظيمي تسير نحوه تحديثات SAMA CSCC لعام 2026 بشكل واضح.
6. حدّث برامج الوعي لفرق DevOps: هجمات سلسلة التوريد تبدأ بالإنسان. درّب مطوريك على التعرف على هجمات الانتحال عبر GitHub وSlack وLinkedIn — المنصات التي تستهدفها UNC1069 بالتحديد في مراحل الإعداد الممتدة.

الخلاصة

هجوم Axios يُسقط وهم الأمان المستمد من شعبية المكتبات مفتوحة المصدر. مشروع يثق به الملايين يمكن أن يتحول إلى ناقل هجوم متقدم في ثلاث ساعات فحسب. في القطاع المالي السعودي، حيث تحمل البيانات ثقلاً تنظيمياً وقانونياً بموجب SAMA وNCA وPDPL، لا يمكن لفريق DevSecOps أن يتعامل مع سلسلة التوريد البرمجية باعتبارها مسؤولية خارج نطاق الأمن. الاستجابة الاستباقية اليوم ليست رفاهية — هي شرط امتثال لا تهاون فيه.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.