تحذير من مجموعة استخبارات التهديدات في جوجل بشأن هجوم مستمر على مكتبة Axios في npm
تعرّضت مكتبة Axios، وهي واحدة من أكثر مكتبات جافا سكريبت شعبية والتي تُستخدم لتسهيل طلبات HTTP، لهجوم من قبل جهة تهديد مجهولة. أعلنت مجموعة استخبارات التهديدات في جوجل (GTIG) عن رصدها لهجوم نشط على سلسلة إمداد البرمجيات يستهدف هذه المكتبة، بهدف توزيع برمجيات خبيثة على المستخدمين.
الهجوم استهدف نسختين من مكتبة Axios، الإصدار 1.14.1 و0.30.4، والتي تحظى بملايين التنزيلات أسبوعياً، حيث يتجاوز عدد التنزيلات الأسبوعية لكل إصدار مئة مليون و83 مليون على التوالي. قام المهاجمون بمحاولة إدخال تبعية خبيثة باسم “plain-crypto-js”، والتي تُعرف بأنها أداة مخفية تُستخدم لنشر برمجية خبيثة تُدعى WAVESHAPER.V2، تعمل كخلفية تتيح السيطرة والتحكم عن بُعد على أجهزة المستخدمين بأنظمة ويندوز وماك ولينكس.
التحقيقات أشارت إلى أن WAVESHAPER.V2 تعتبر أداة تحكم عن بُعد (Remote Access Trojan) متطورة، قادرة على جمع المعلومات عن الجهاز المستهدف، وتنفيذ أوامر عن بعد، والتعرف على تفاصيل النظام بشكل دقيق. وُجد أن هذه الأداة مكتوبة بلغات برمجة متعددة، منها C++ وPowerShell وPython، بهدف استهداف بيئات مختلفة.
الأصل وراء هذا الهجوم يُعتقد أنه من قبل جهة مرتبطة بكوريا الشمالية، وتحديدًا مجموعة UNC1069، المعروفة بنشاطاتها المستمرة منذ عام 2018، والتي تستهدف صناعة العملات الرقمية والمطورين في هذا المجال. تشير الأدلة إلى أن WAVESHAPER.V2 هو نسخة محدثة من سابقتها WAVESHAPER، التي كانت تستخدم سابقًا من قبل نفس المجموعة.
وذكر تقرير جوجل أن تحليل البنى التحتية المستخدمة في هذا الهجوم يظهر تطابقًا مع البنى التحتية التي استخدمتها مجموعة UNC1069 في أنشطة سابقة، مما يعزز فرضية أن الهجوم من تمويل ودعم من كوريا الشمالية.
هذه الهجمات تُسلط الضوء على الحاجة المستمرة لحماية برمجيات المصدر المفتوح، خاصة تلك التي تحظى بشعبية كبيرة، من محاولات الاختراق والتلاعب التي تهدد أمن المستخدمين والمنشآت على حد سواء.