اختراق حزمة Axios على npm يثير مخاوف واسعة حول أمن سلسلة الإمداد البرمجي عالمياً

تعرضت منظومة البرمجيات مفتوحة المصدر لهزة أمنية عقب اكتشاف اختراق طال حزمة Axios الشهيرة والمستضافة على مستودع npm في تاريخ 31 مارس 2026. وتكمن خطورة هذه الحادثة في الانتشار الواسع للحزمة التي تمثل ركيزة أساسية في أكثر من 174 ألف مشروع برمجي، حيث يتجاوز معدل تنزيلها الأسبوعي حاجز 100 مليون عملية.

نتج عن هذا الاختراق نشر نسختين خبيثتين حملتا الأرقام 1.14.1 و0.30.4 لفترة زمنية محدودة، وذلك بعد الوصول غير المشروع إلى حساب أحد المشرفين الموثوقين، ما مكن المهاجمين من نشر شيفرات برمجية ضارة بشكل مباشر داخل الحزمة الرسمية.

أظهر التحليل الفني الدقيق أن المهاجمين أدرجوا تبعية برمجية مخفية تحت مسمى plain-crypto-js بالإصدار 4.2.1 ضمن مكونات الحزمة الأصلية. وتهدف هذه الإضافة إلى تنفيذ أوامر برمجية بمجرد تثبيت الحزمة، ما يؤدي إلى تحميل برمجية تحكم عن بعد متوافقة مع أنظمة التشغيل Windows وmacOS وLinux.

تعتمد هذه الآلية على استغلال ثقة المطورين في التحديثات التلقائية لنشر برمجيات خبيثة قادرة على التواصل مع بنية قيادة وتحكم خارجية. وتتولى هذه البرمجيات تنفيذ مهام تجسسية واستكشافية للملفات والعمليات النشطة داخل الأجهزة المصابة.

آليات التنفيذ والمسارات التقنية للاختراق

كشف التسلسل الزمني للعملية عن تخطيط مسبق وممنهج؛ حيث عمد المهاجمون إلى تجهيز الحزم التابعة قبل اختراق الحساب الأساسي. وقد تمكنوا من الحصول على رمز وصول طويل الأجل خاص بالناشر، واستخدموا واجهة سطر أوامر npm CLI لنشر الإصدارات الخبيثة بشكل مباشر.

أتاحت هذه الطريقة تجاوز بروتوكولات الأمان المعتادة، مثل OIDC Trusted Publishing وGitHub Actions، التي تُعنى بضمان سلامة عمليات النشر البرمجي. وأشارت تقارير صادرة عن مؤسسة Huntress إلى أن الاعتماد على رمز NPM_TOKEN داخل بيئة النشر وفر ثغرة للمصادقة، وسمح بتجاوز الضوابط الأمنية الحديثة المفروضة على المنصة.

صمم المهاجمون الحمولة الخبيثة لتعمل كأداة اختراق شاملة تمنحهم وصولاً فعلياً، مع تزويدها بقدرات متقدمة لإخفاء الآثار وتقليل فرص الرصد الجنائي الرقمي. وتضمنت البرمجية سلوكيات تهدف إلى التخفي خلف أسماء ملفات توحي بأنها مكونات نظام شرعية تابعة لأنظمة التشغيل المختلفة.

علاوة على ذلك، تواصلت هذه العينات مع خوادم خارجية لاستلام وتنفيذ أوامر عن بُعد، مع جمع تفاصيل دقيقة عن خصائص النظام المستهدف. تهدف هذه الاستراتيجية إلى ضمان استمرارية الوجود داخل الشبكات المخترقة دون إثارة الإنذارات الأمنية التقليدية، مما يعكس مستوى عالياً من الاحترافية في تنفيذ الهجوم.

تقديرات التعرض والتحقيقات الدولية المستمرة

استمر وجود النسخ الخبيثة على المستودع لمدة قاربت 3 ساعات قبل تدخل الجهات المسؤولة لإزالتها، وتشير تقديرات تقنية من شركة Wiz إلى احتمالية قيام نحو 3% من مستخدمي Axios بتنزيل هذه التحديثات خلال تلك النافذة الزمنية القصيرة. ورغم أن هذا الرقم يمثل حجم التعرض المحتمل، إلا أنه لا يعد حصراً نهائياً للإصابات الفعلية، مما دفع الخبراء للتوصية بالتعامل مع أي بيئة ثبت فيها استخدام هذه الإصدارات كمنطقة معرضة للخطر تستوجب التدقيق الشامل وتغيير رموز الوصول.

تتجه التحقيقات الجارية نحو ربط هذه العملية بجهات تهديد منظمة وذات إمكانيات تقنية عالية؛ حيث أفادت مجموعة Google Threat Intelligence Group بوجود مؤشرات أولية تربط الهجوم بجهة تهديد مدعومة دولياً يُشار إليها بالرمز UNC1069، ويُشتبه ارتباطها بكوريا الشمالية. كما رصدت شركة Elastic تقاطعات برمجية في العينات الموجهة لنظام macOS تعزز هذا التوجه الاستخباري.

يبقى هذا التقييم في إطار التحليل المستمر، حيث تترقب الأوساط التقنية صدور بيانات رسمية نهائية من npm أو GitHub لتحديد المسؤولية القاطعة عن هذه الحادثة، التي كشفت بوضوح عن ثغرات حاسمة في أمن سلسلة الإمداد البرمجي العالمي.