اختراق مكتبة Axios الشهيرة على npm ونشر إصدارات خبيثة تستهدف المطورين مباشرة.

تم اكتشاف هجوم Supply Chain استهدف مكتبة :contentReference[oaicite:0]{index=0} الشهيرة على npm، بعد نشر إصدارات خبيثة تستهدف المطورين بشكل مباشر.

الإصدارات المصابة

• axios@1.14.1 و axios@0.30.4

ماذا حدث؟

تم اختراق حساب أحد المشرفين ونشر تبعية خبيثة: plain-crypto-js@4.2.1. هذه التبعية غير مستخدمة داخل Axios، لكنها تعمل عبر postinstall، مما يسمح بتنفيذ كود ضار مباشرة بعد التثبيت على الجهاز أو داخل CI/CD.

ماذا يفعل الكود الخبيث؟

• تشغيل RAT والتحكم في النظام.
• تنفيذ أوامر عبر execSync.
• الوصول للملفات (fs) ومعلومات النظام (os).
• زرع ملفات خبيثة داخل النظام (مثل ProgramData على ويندوز).
• إخفاء آثاره بعد التنفيذ.

تشغيل هذه الإصدارات قد يمنح المهاجم وصولًا كاملًا إلى جهازك أو بيئة العمل.

التأثير المحتمل

• تسريب API Keys وTokens.
• اختراق CI/CD والسيرفرات.
• التحكم في بيئة التطوير.
• سرقة بيانات المشاريع.

ماذا تفعل الآن؟

1. استخدم إصدار آمن: axios@1.14.0 أو axios@0.30.3
2. أعد تثبيت المشروع:

   rm -rf node_modules package-lock.json
   npm install

3. تأكد من عدم وجود: plain-crypto-js
4. قم بتغيير جميع المفاتيح: API Keys، Tokens، SSH Keys
5. اعتبر أي بيئة ثبتت الحزمة مؤخرًا معرضة للاختراق

وجود postinstall في تبعية غير مستخدمة يعتبر مؤشر خطر.

نصيحة مهمة

npm install axios@latest

تجنب استخدام latest مؤقتًا، واعتمد على إصدار ثابت مثل: axios@1.14.0

الخلاصة

الهجوم يوضح خطورة Supply Chain Attacks، ويؤكد أهمية تثبيت الإصدارات، ومراجعة التبعيات، وعدم الاعتماد على latest بشكل أعمى.