أكدت وحدة أبحاث/مكافحة التهديدات الإلكترونية التابعة لشركة Google، Mandiant، أن مجموعة هجمات إلكترونية يشتبه أنها من كوريا الشمالية مسؤولة عن حادثة هجوم سلسلة التوريد باستخدام axios هذا الأسبوع يوم الثلاثاء. تمكن المهاجمون من اختراق حساب مطوّر البرمجية مفتوحة المصدر axios المسؤول عن إدارتها، وخلال نافذة مدتها نحو ثلاث ساعات صباح يوم الثلاثاء، دفعوا تحديثات خبيثة إلى جميع الجهات التي تقوم بتنزيل هذا البرنامج، وكان الهدف هو سرقة الأصول المشفّرة لدى الشركات لتمويل برامج كوريا الشمالية للأسلحة النووية والصواريخ.
تفاصيل تنفيذ الهجوم: ضربة سلسلة توريد دقيقة خلال ثلاث ساعات
أظهرت تحركات المهاجمين كفاءة عالية لهجمات سلسلة التوريد البرمجية. حصل المهاجمون أولاً على السيطرة على حساب مطوّر برنامج axios مفتوح المصدر، ثم قاموا فوراً بتزييف نسخة تتضمن شيفرة خبيثة على أنها تحديث رسمي بدافع قانوني. خلال نافذة الثلاث ساعات تلك، ستقوم أي أنظمة آلية لدى أي جهة بإجراء التحديثات الروتينية، وبالتالي ستقوم من دون علم منها بنشر هذه النسخة التي تحتوي على باب خلفي.
وأشار مدير المعلومات الاستخبارية للتهديدات الاستراتيجية في شركة Wiz التابعة لـ Google، Ben Read، إلى: «لا تخشى كوريا الشمالية الإضرار بسمعتها أو أن يتم التعرف عليها في النهاية، لذا على الرغم من أن مثل هذه الإجراءات تلفت الانتباه للغاية، فإنهم ما زالوا على استعداد لدفع مثل هذا الثمن».
كما قال باحث الأمن في Huntress، John Hammond، إن التوقيت في «محله تماماً»، مشيراً مباشرة إلى أن المؤسسات تتبنى بكثافة وكلاء AI لتطوير البرمجيات، «من دون أي مراجعة أو قيود»، ما يجعل ثغرات سلسلة التوريد أكثر قابلية للاستغلال بشكل منهجي.
نتائج التحقيق: حجم الضحايا واتجاهات الهجوم المستقبلية
تكشف التحقيقات الحالية عن تهديدات متعددة الأبعاد:
الأجهزة المتأثرة: حدّدت Huntress نحو 135 جهازاً تعرضت للاختراق، تابعة لحوالي 12 شركة، ويُقدَّر أنها مجرد جزء صغير من الحجم الفعلي للضرر.
وقت التقييم: حذّر كبير مسؤولي التكنولوجيا في Mandiant، Charles Carmakal، من أن التقييم الكامل لتأثير هذا الهجوم قد يتطلب عدة أشهر.
اتجاهات الهجوم التالية: تتوقع Mandiant أن يستخدم المهاجمون الشهادات/بيانات الاعتماد المسروقة وصلاحيات الوصول إلى النظام لتحديد أصول الشركات المشفّرة بشكل إضافي بهدف تنفيذ السرقة.
هشاشة سلسلة التوريد: أشار Hammond إلى أن «الكثيرين لم يعودوا يهتمون بمكونات البرمجيات التي يستخدمونها، وهذا يخلق ثغرة كبيرة في سلسلة التوريد بأكملها».
الخلفية التاريخية: ترقية منهجية لعمليات السرقة الرقمية لكوريا الشمالية
يُعد هجوم axios هذه أحدث مثال على الاختراق المنهجي لسلاسل توريد البرمجيات من قبل بيونغ يانغ. قبل ثلاث سنوات، يُشتبه أن عملاء من كوريا الشمالية اخترقوا مزوداً آخر شائعاً جداً لبرمجيات الصوت والفيديو؛ وفي العام الماضي، تمكن قراصنة كوريا الشمالية من سرقة عملات مشفّرة بقيمة 15 مليار دولار في هجوم واحد، مسجلين رقماً قياسياً تاريخياً في ذلك الوقت لملفات قراصنة العملات المشفّرة.
وتُظهر تقارير من الأمم المتحدة إلى جانب عدة جهات خاصة أن قراصنة كوريا الشمالية سرقوا خلال السنوات الماضية عشرات المليارات من الدولارات من البنوك وشركات العملات المشفّرة. وفي عام 2023، كشف مسؤولون من البيت الأبيض أن نحو نصف تمويل خطة صواريخ كوريا الشمالية جاء من هذا النوع من السرقة الرقمية، ما يمنح تهديد الأمان دلالات استراتيجية دولية مباشرة.
الأسئلة الشائعة
ما هو axios، ولماذا أصبح هدفاً لهجوم سلسلة توريد؟
axios هو حزمة JavaScript npm الأساسية شائعة الاستخدام للغاية (الإصدار المصاب كان 1.14.1)، وتساعد المطورين على التعامل مع طلبات HTTP الخاصة بالمواقع. وقد تم اعتمادها من قبل آلاف الشركات في مجالات الرعاية الصحية والمالية والتكنولوجيا. إن ارتفاع معدل تنزيلها يجعلها هدفاً عالي القيمة لهجمات سلسلة التوريد—فبمجرد اختراق حساب مطور، يمكن دفع شيفرة خبيثة إلى عدد كبير من الجهات التابعة في غضون ساعات قليلة.
ما المخاطر الملموسة التي يعنيها هذا الهجوم بالنسبة لشركات العملات المشفّرة؟
تشير تقييمات Mandiant إلى أن المهاجمين سيستغلون بيانات الاعتماد المسروقة لمزيد من اختراق الشركات التي تمتلك أصولاً مشفّرة. قد تكون الشركات والمشروعات التقنية التي تستخدم نسخاً من axios مصابة قد وفرت—من دون علمها—للمهاجمين أبواباً خلفية للوصول إلى أنظمتها الداخلية، مما يعرّض مفاتيح المحافظ الخاصة، ومفاتيح API، وبيانات اعتماد المعاملات لخطر السرقة.
كيف يجب على الشركات تقييم هذا الهجوم ومواجهته؟
يُنصح بتنفيذ الخطوات التالية فوراً: التحقق مما إذا كانت نسخة axios في النظام هي نسخة مصابة؛ مراجعة سجلات تحديثات البرامج خلال فترة وقوع الهجوم (نافذة ثلاث ساعات صباح يوم الثلاثاء)؛ فحص ما إذا كانت هناك عمليات وصول غير معتادة إلى بيانات الاعتماد أو سلوك اتصالات خارجية؛ والتواصل مع جهات أمنية مثل Huntress وMandiant لإجراء تقييم احترافي.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
