كشف القائمون على مكتبة Axios HTTP الشهيرة عن هجوم متطور على سلسلة التوريد البرمجية، نجم عن حملة ناجحة للهندسة الاجتماعية. تم اختراق حساب أحد المطورين، مما مكّن الجهات الفاعلة الخبيثة من نشر نسختين ضارتين (1.14.1 و0.30.4) إلى سجل حزم npm. أدخلت هذه الحزم الملوثة اعتمادًا باسم `plain-crypto-js`، والذي قام بنشر حصان طروادة (RAT) عن بُعد متعدد المنصات قادر على إصابة أنظمة macOS وWindows وLinux. كانت النسخ الضارة متاحة لمدة ثلاث ساعات تقريبًا قبل تحديدها وإزالتها، ولكن يجب اعتبار أي نظام قام بتثبيتها خلال تلك الفترة مخترقًا بالكامل. استجاب فريق Axios من خلال مسح الأنظمة المتأثرة، وتدوير جميع بيانات الاعتماد، وتنفيذ بروتوكولات أمان معززة لمنع التكرار.
أرجعت مجموعة Threat Intelligence Group (GTIG) التابعة لشركة Google هذا الهجوم بثقة عالية إلى جهة تهديد كورية شمالية تُتعقب تحت اسم UNC1069. تم تحديد هذه المجموعة ذات الدافع المالي، النشطة منذ عام 2018 على الأقل، بناءً على استخدام نوع متطور من البرامج الضارة باسم WAVESHAPER.V2، وهي أداة ارتبطت سابقًا بعملياتها. يكشف منهج الهجوم عن تطور مقلق في الاستراتيجية الإلكترونية لكوريا الشمالية، التي تدمج بشكل متزايد بين التجسس والحملات ذات الدوافع المالية، وغالبًا ما تستهدف أنظمة المصدر المفتوح لتحقيق التسلل الواسع والخفي.
تم تحقيق الاختراق الأولي من خلال خدعة متطورة ومستهدفة للهندسة الاجتماعية. تظاهر الجهة الفاعلة الخبيثة بأنه مطور يواجه خطأ في Microsoft Teams وطلب المساعدة من أحد القائمين على Axios. ثم أرسل رابطًا لمستودع برمجي ضار متنكرًا كإصلاح ضروري. عندما قام القائم على المشروع باستنساخ وتنفيذ الكود، أدى ذلك إلى استيلاء خفي على الحساب، مما منح المهاجم حق الوصول إلى صلاحيات النشر على سجل npm. يؤكد هذا الحادث على نقطة الضعف البشرية الحرجة في سلاسل التوريد البرمجية، حيث يمكن لحساب مطور واحد مخترق أن يعرض الملايين من المستخدمين والتطبيقات الثانوية للخطر.
ردًا على الاختراق، اتخذ القائمون على Axios خطط احتواء شاملة ويدعون إلى تغييرات أوسع في القطاع. خضع جميع القائمين على المشروع لتدريب على الأمن، وفرض المشروع المصادقة الثنائية (2FA) الإلزامية لجميع الحسابات الإدارية. علاوة على ذلك، يستكشفون التوقيع التشفيري للحزم وضوابط أكثر صرامة على حقوق النشر. يعد هذا الحدث تذكيرًا صارخًا لجميع مشاريع المصدر المفتوح بمراجعة ضوابط الوصول الخاصة بها، وإلزام المصادقة الثنائية، وتثقيف القائمين على المشاريع حول تكتيكات الهندسة الاجتماعية المتقدمة. بالنسبة للمؤسسات، فإنه يعزز ضرورة تنفيذ ممارسات قوية لفاتورة مواد البرمجيات (SBOM) والمراقبة الاستباقية للتبعيات.
