أعلنت فرق الأمن السيبراني في Google Threat Intelligence Group (GTIG) عن عملية اختراق مكتبة JavaScript الشهيرة Axios، التي تُستخدم على نطاق واسع في مشاريع الويب، والتي تم زرع حصان طروادة (Trojan) فيها على أنظمة Windows وmacOS وLinux. الهجوم نُسب إلى المجموعة الكورية الشمالية UNC1069، النشطة منذ 2018 والمعروفة باستهداف العملات الرقمية والتمويل اللامركزي.
WAVESHAPER V.2: تطور برنامج ضار متقدم
الهجوم استخدم نسخة جديدة من البرنامج الضار WAVESHAPER، مع خصائص مشابهة للهجمات السابقة:
- تواصل منتظم مع خوادم C2 (Command & Control).
- استخدام معرف شبكة غير معتاد.
- استهداف جميع أنظمة التشغيل من خلال سكريبت SILKBELL، الذي يعمل كـ dropper لتحميل الحمولة النهائية لكل نظام.
تم نشر النسخ المخترقة من Axios وplain-crypto-js لفترة قصيرة، مع محاولة إخفاء أثرها بعد التنفيذ لتجنب الكشف.
الإجراءات الأمنية الضرورية للمطورين
- التحقق من النسخ المخترقة: Axios 1.14.1 و0.30.4 وplain-crypto-js 4.2.0 و4.2.1.
- العودة إلى نسخ سليمة وتثبيتها بإحكام، وتعليق أي نشر قد ينشر النسخة الخبيثة.
- فحص الأجهزة والبيئات المتأثرة بحثًا عن برامج RAT التي قد تسرق tokens وAPI keys والشهادات.
- عزل الأنظمة المشبوهة وإيقاف العمليات الضارة مع حفظ الأدلة قبل التنظيف.
- تنظيف caches الخاصة بـ npm وyarn وpnpm لتجنب إعادة العدوى.
- تجديد جميع الأسرار والرموز السرية المستخدمة في بيئة التطوير لضمان عدم الاستغلال.
لماذا يمثل Axios هدفًا حساسًا؟
الهجمات على سلسلة التوريد عبر npm تسمح للقراصنة بالوصول إلى آلاف المشاريع تلقائيًا، مما يشكل تهديدًا كبيرًا للبيانات الحساسة في البيئات السحابية وCI/CD.
تعليقات: (0) إضافة تعليق