هجوم إلكتروني يستهدف Axios ويصيب آلاف المشاريع عبر npm
الأمن السيبرانيالاختراقات والثغرات

هجوم إلكتروني يستهدف Axios ويصيب آلاف المشاريع عبر npm

ثغرة أمنية في Axios: استغلال npm لنشر برمجية خبيثة تستهدف الأنظمة الثلاثة

ابراهيم الهياجمآخر تحديث: مارس 31, 2026

تعرضت مكتبة Axios الشهيرة لهجوم على سلسلة التوريد، بعد أن احتوت نسختان جديدتان منشورتان على npm على اعتماد خبيث يقوم بتنزيل حصان طروادة قادر على استهداف أنظمة Windows وmacOS وLinux.

تم اكتشاف أن الإصدارين 1.14.1 و 0.30.4 من Axios يقومان بحقن حزمة مزيفة تُدعى “plain-crypto-js” بالإصدار 4.2.1 كاعتماد ضمني.

مقالات ذات صلة

ووفقًا لشركة StepSecurity، تم نشر هذين الإصدارين باستخدام بيانات اعتماد npm المخترقة للمطور الرئيسي لمشروع Axios (“jasonsaayman”)، مما سمح للمهاجمين بتجاوز نظام التكامل والتسليم المستمر (CI/CD) الخاص بالمشروع على GitHub.

ماهي  Axios

تُعد مكتبة Axios واحدة من أشهر مكتبات JavaScript المستخدمة لإجراء طلبات HTTP بسهولة ومرونة. تُستخدم Axios في تطبيقات الويب للتواصل مع الخوادم (APIs) سواء في الواجهة الأمامية (Frontend) مثل React وVue، أو في الخلفية (Backend) عبر Node.js. تتميز بدعمها للـ Promises، ومعالجة الاستجابات والأخطاء بشكل منظم، إضافة إلى إمكانية تخصيص الطلبات مثل إضافة الرؤوس (Headers) وإدارة المصادقة. وبفضل بساطتها وقوتها، أصبحت خيارًا أساسيًا للمطورين في بناء التطبيقات الحديثة التي تعتمد على جلب البيانات من الإنترنت.

وقال الباحث الأمني Ashish Kurmi:

“الغرض الوحيد من هذا الاعتماد هو تنفيذ سكربت postinstall يعمل كأداة إسقاط لبرنامج تحكم عن بعد (RAT) متعدد الأنظمة. حيث يقوم بالاتصال بخادم تحكم وسيطرة (C2) نشط، وتنزيل حمولات خبيثة مخصصة لكل نظام تشغيل. وبعد التنفيذ، يقوم البرنامج الخبيث بحذف نفسه واستبدال ملف package.json بنسخة نظيفة لتجنب اكتشافه.”

 تحذير مهم للمستخدمين:

إذا كنت تستخدم Axios بالإصدار 1.14.1 أو 0.30.4:

  • يجب تغيير جميع كلمات المرور والمفاتيح السرية فورًا
  • والرجوع إلى إصدار آمن مثل:
    • 1.14.0
    • 0.30.3

وقد تم بالفعل إزالة الإصدارات الخبيثة وكذلك حزمة plain-crypto-js من npm.

مدى خطورة الهجوم

تُعد Axios واحدة من أكثر مكتبات HTTP استخدامًا في بيئة JavaScript، حيث يتجاوز عدد تنزيلاتها الأسبوعية 83 مليون مرة، وتُستخدم في:

  • تطبيقات الواجهة الأمامية
  • الخدمات الخلفية
  • الأنظمة المؤسسية

تحليل الهجوم

أوضح Kurmi أن الهجوم لم يكن عشوائيًا، بل كان مخططًا بدقة:

  • تم تجهيز الاعتماد الخبيث قبل 18 ساعة
  • تم إعداد 3 حمولات مختلفة لكل نظام تشغيل
  • تم استهداف فرعي الإصدارات خلال 39 دقيقة فقط
  • تم تصميم الهجوم بحيث يمسح آثاره ذاتيًا

التسلسل الزمني للهجوم:

  • 30 مارس 2026 – 05:57 UTC: نشر نسخة نظيفة من الحزمة
  • 30 مارس 2026 – 23:59 UTC: نشر نسخة خبيثة
  • 31 مارس 2026 – 00:21 UTC: نشر Axios 1.14.1
  • 31 مارس 2026 – 01:00 UTC: نشر Axios 0.30.4

كيف تم الاختراق؟

كيف تم الهجوم على Axios
  • تم اختراق حساب npm الخاص بالمطور “jasonsaayman”
  • تم تغيير البريد الإلكتروني إلى ProtonMail
  • يُعتقد أن المهاجم حصل على رمز وصول (Access Token) طويل الأمد

آلية عمل البرمجية الخبيثة:

يتم تشغيلها عبر سكربت Node.js مخفي، وتتصرف حسب النظام:

 على macOS:

  • تحميل ملف خبيث من خادم خارجي
  • حفظه وتشغيله في الخلفية
  • حذف آثار التنفيذ

على Windows:

  • نسخ PowerShell وإخفاؤه كـ Windows Terminal
  • تنفيذ سكربت VBScript لتحميل RAT

على Linux:

  • تحميل سكربت Python خبيث
  • تشغيله في الخلفية باستخدام nohup

الاتصال بالخادم (C2):

كل نظام يرسل طلبًا مختلفًا إلى نفس الخادم:

  • macOS → product0
  • Windows → product1
  • Linux → product2

قدرات RAT:

  • تنفيذ أوامر عن بعد
  • تحميل ملفات إضافية
  • استكشاف نظام الملفات
  • إرسال بيانات للنظام كل 60 ثانية

لا يحتوي على آلية بقاء (Persistence)، مما يعني:

  • لا يستمر بعد إعادة التشغيل
  • يركز على سرقة البيانات بسرعة أو تثبيت أدوات إضافية

تقنيات إخفاء الهجوم:

  • حذف سكربت postinstall بعد التنفيذ
  • حذف package.json الأصلي
  • استبداله بملف نظيف لإخفاء الأثر

نقطة مهمة جدًا:

لم يتم تعديل أي سطر داخل كود Axios نفسه، بل تم الهجوم عبر:

  • اعتماد خارجي (Dependency)
  • يتم تشغيله تلقائيًا بعد التثبيت

كيف تتأكد أنك غير مصاب:

  • تحقق من إصدار Axios
  • افحص الملفات التالية:
    • macOS: /Library/Caches/com.apple.act.mond
    • Windows: %PROGRAMDATA%\wt.exe
    • Linux: /tmp/ld.py
  • احذف الحزمة الخبيثة من node_modules
  • راجع CI/CD الخاص بك
  • احظر الاتصال بالدومين:
    • sfrclak[.]com

حزم أخرى متأثرة:

تم اكتشاف حزم إضافية تنشر نفس البرمجية:

  • @shadanai/openclaw
  • @qqbrowser/openclaw-qbot

خلاصة:

هذا الهجوم يُعد مثالًا متقدمًا على هجمات سلسلة التوريد، حيث:

  • لم يتم اختراق الكود الأساسي
  • بل تم استغلال نظام الاعتمادات
  • مع تنفيذ خفي عبر postinstall

وهو يسلط الضوء على أهمية:

  • مراجعة الاعتمادات الخارجية
  • تأمين حسابات npm
  • مراقبة سلوك الحزم بعد التثبيت

تعرف على كيفية حماية نفسك والبيانات من خلال مقالاتنا الاخرى:

حماية البيانات الشخصية: دليل شامل لحماية خصوصيتك وأمانك الرقمي

الأمن السيبراني: الدليل الشامل لحماية البيانات والأنظمة من الهجمات الإلكترونية

الوسوم
ابراهيم الهياجمآخر تحديث: مارس 31, 2026

مقالات ذات صلة

إصدارات جديدة من cPanel وWHM تسد ثلاث ثغرات أمنية خطيرة.. والتوصية بالتحديث الفوري

إصدارات جديدة من cPanel وWHM تسد ثلاث ثغرات أمنية خطيرة.. والتوصية بالتحديث الفوري

مايو 9, 2026
Google تطلق درعًا جديدًا لحماية Android من هجمات التوريد

Google تطلق درعًا جديدًا لحماية Android من هجمات التوريد

مايو 6, 2026
اختراق 30 ألف حساب فيسبوك عبر حملة تصيّد تستخدم Google AppSheet

اختراق 30 ألف حساب فيسبوك عبر حملة تصيّد تستخدم Google AppSheet

مايو 2, 2026
حزمة التصيّد Bluekit الجديدة تتضمن مساعدًا بالذكاء الاصطناعي

حزمة التصيّد Bluekit الجديدة تتضمن مساعدًا بالذكاء الاصطناعي

مايو 2, 2026
زر الذهاب إلى الأعلى