تحديث 31 مارس 2026، 1:28 مساءً بالتوقيت العالمي المنسق: تم تحديث هذه المقالة لإضافة تعليقات من عبد الفتاح إبراهيم، مهندس الأمن الهجومي الأول في هاكن.
أدت إصدارات npm خبيثة من Axios إلى تحذيرات للمطورين بتغيير بيانات الاعتماد والتعامل مع الأنظمة المتأثرة على أنها مخترقة بعد هجوم على سلسلة التوريد لوّث مكتبة عميل HTTP الشهيرة للغة JavaScript.
أبلغت شركة الأمن السيبراني Socket عن الاختراق لأول مرة، حيث قالت إن axios@1.14.1 و axios@0.30.4 تم تعديلهما لسحب plain-crypto-js@4.2.1، وهي تبعية خبيثة عملت تلقائيًا أثناء التثبيت قبل إزالة الإصدارات من npm.
وفقًا لشركة الأمن OX Security، يمكن للرمز المعدّل أن يمنح المهاجمين وصولاً عن بعد إلى الأجهزة المصابة، مما يسمح لهم بسرقة البيانات الحساسة مثل بيانات اعتماد تسجيل الدخول ومفاتيح API ومعلومات محافظ العملات الرقمية.
يوضح هذا الحادث كيف يمكن لمكون واحد مفتوح المصدر تم اختراقه أن ينتشر عبر آلاف التطبيقات التي تعتمد عليه، مما يعرض للخطر ليس فقط المطورين ولكن أيضًا المنصات والمستخدمين المتصلين بالنظام.
حذرت OX Security المطورين الذين قاموا بتثبيت axios@1.14.1 أو axios@0.30.4 بالتعامل مع أنظمتهم على أنها مخترقة بالكامل وتغيير بيانات الاعتماد فورًا، بما في ذلك مفاتيح API ورموز الجلسة.
قالت Socket إن إصدارات Axios المخترقة تم تعديلها لتشمل تبعية لـ plain-crypto-js@4.2.1، وهي حزمة نُشرت قبل الحادث بوقت قصير وتم تحديدها لاحقًا على أنها خبيثة.
ذات صلة: امتداد متصفح Trust Wallet توقف عن العمل بسبب "خلل" في متجر كروم، حسب قول الرئيس التنفيذي
وقالت الشركة إن التبعية تم تكوينها لتعمل تلقائيًا أثناء التثبيت من خلال برنامج نصي بعد التثبيت، مما يسمح للمهاجمين بتنفيذ التعليمات البرمجية على الأنظمة المستهدفة دون تفاعل إضافي من المستخدم.
نصحت Socket المطورين بمراجعة مشاريعهم وملفات التبعية بحثًا عن إصدارات Axios المتأثرة وحزمة plain-crypto-js@4.2.1 المرتبطة بها، وإزالة أو استعادة أي إصدارات مخترقة على الفور.
صرح عبد الفتاح إبراهيم، مهندس الأمن الهجومي الأول في هاكن، لموقع Cointelegraph أن الاختراق قد تكون له تداعيات خطيرة على التطبيقات المتعلقة بالعملات الرقمية التي تعتمد على Axios لعمليات الواجهة الخلفية.
قال: "هذه أخبار سيئة للتطبيقات اللامركزية (dapps) والتطبيقات التي تتعامل مع العملات المشفرة لأن Axios يلعب دورًا كبيرًا في استدعاءات API"، مشيرًا إلى أن الأنظمة المتأثرة يمكن أن تشمل تكاملات التبادلات، وفحوصات أرصدة المحافظ، وبث المعاملات.
قال إبراهيم إن البرامج الضارة المنتشرة في الهجوم تعمل كحصان طروادة كامل للوصول عن بعد، مما يسمح للمهاجمين بالتفاعل مباشرة مع الأنظمة المخترقة. وأضاف أن الحادث يسلط الضوء على ضعف أوسع في كيفية التعامل مع مخاطر سلسلة التوريد.
أظهرت حوادث العملات الرقمية السابقة كيف يمكن لاختراقات سلسلة التوريد أن تتفاقم من معلومات المطورين المسروقة إلى خسائر في محافظ المستخدمين.
في 3 يناير، أبلغ المحقق على السلسلة ZachXBT أن "المئات" من المحافظ عبر الشبكات المتوافقة مع آلة إيثيريوم الافتراضية قد تم إفراغها في هجوم واسع النطاق سحب مبالغ صغيرة من كل ضحية.
قال الباحث في الأمن السيبراني فلاديمير س. إن الحادث كان مرتبطًا باحتمال باختراق ديسمبر الذي أثر على Trust Wallet، والذي أسفر عن خسائر تقدر بنحو 7 ملايين دولار عبر أكثر من 2,500 محفظة.
قالت Trust Wallet لاحقًا إن الاختراق قد يكون نشأ من تسوية لسلسلة التوريد تتضمن حزم npm المستخدمة في سير عمل تطويرها.
مجلة: لا أحد يعرف ما إذا كانت التشفير الآمن من الكم سيعمل حتى