كشف باحثون في Sophos المتخصصة في الأمن السيبراني عن هجوم خطير على سلسلة توريد البرمجيات، مستهدفاً حزمة Axios على npm التي تُستخدم على نطاق واسع. قام الجهة الفاعلة الخبيثة وراء هذه الحملة باختراق الحزمة لنشر حمولة برمجية خبيثة متطورة مصممة لسرقة المعلومات الحساسة، بما في ذلك متغيرات البيئة وتفاصيل النظام، من أنظمة التطوير المصابة. يسلط هذا الحادث الضوء على التهديد المستمر والمتصاعد للنظم البيئية مفتوحة المصدر، حيث يمكن لاعتماد واحد معرض للاختراق أن يكون له تأثير أمني متتالي عبر عدد لا يحصى من التطبيقات والمنظمات في جميع أنحاء العالم.
تضمنت منهجية الهجوم تنفيذ النسخة الضارة من الحزمة لبرنامج نصي يتم تشغيله قبل التثبيت، والذي قام بدوره جلب وتشغيل حمولة ثانية من خادم بعيد. كانت هذه الحمولة عبارة عن سارق معلومات يعتمد على Node.js قادر على تصدير بيانات حرجة مثل ملفات `.env` ومفاتيح SSH وتفاصيل التكوين إلى خادم تحكم وأمر (C2) يتحكم فيه المهاجمون. يشير تطور البرنامج الضار إلى جهد مستهدف للتسلل إلى بيئات المطورين، والتي تعتبر أهدافاً عالية القيمة بسبب وصولها إلى الكود الخاص، بيانات الاعتماد، وخطوط النشر.
يؤكد هذا الاختراق على وجود نقطة ضعف أساسية في دورة حياة تطوير البرمجيات الحديثة: الاعتماد المفرط على التبعيات الخارجية. يقوم المطورون بشكل روتيني بدمج الآلاف من الحزم الخارجية، مثل Axios لطلبات HTTP، مع الوثوق بأمان وسلامة المستودعات العامة التي تستضيفها. يخدم تقرير Sophos كتذكير صارخ بأن هذه الثقة يمكن استغلالها، وأن المراقبة المستمرة، والفحص الصارم للتبعيات، واستخدام أدوات تحليل تكوين البرمجيات (SCA) لم تعد اختيارية بل أصبحت مكونات أساسية في استراتيجية DevSecOps قوية.
رداً على هذا الاكتشاف، قام القائمون على سجل npm بإزالة إصدارات الحزمة الضارة. ومع ذلك، يترك الحادث تحدياً كبيراً للتطهير لمجتمع المطورين. يتم حث المنظمات على مراجعة مشاريعها فوراً للبحث عن إصدارات Axios المتأثرة، ومراجعة أشجار التبعيات الخاصة بها، وتدوير أي بيانات اعتماد قد تكون قد تعرضت للاختراق على الأنظمة المصابة. للمضي قدماً، من المرجح أن يسرع هذا الحدث من الجهود الصناعية نحو تنفيذ توقيع أقوى للكود، وبروتوكولات أمان محسنة للمستودعات، واعتماد أكثر انتشاراً لمبادئ التصميم الآمن لتحصين سلسلة توريد البرمجيات ضد مثل هذه الهجمات الخبيثة.
