تُشير تحذيرات Slow Fog إلى أن إصدارات axios الخبيثة تقوم بسحب برمجية خبيثة من نوع plain-crypto-js بشكل صامت، ما يعرض مطوري العملات المشفرة لهجمات RAT عبر منصات متعددة وسرقة بيانات اعتماد عبر npm.

الملخص

• تُشير Slow Fog إلى [email protected] و[email protected] باعتبارهما خبيثين بعد اختراق حساب المُحافظ.
• تُسقط الحزمة المُحقَّنة [email protected] حصانًا طرواديًا للوصول عن بُعد عبر منصات متعددة عبر نصوص postinstall.
• يُنصح للمطورين الذين يستخدمون [email protected] بتدوير بيانات الاعتماد وفحص الأجهزة (hosts)، إذ يقوم npm بإرجاع axios إلى 1.14.0.

أصدرت شركة أمن البلوك تشين Slow Fog تذكيرًا أمنيًا عاجلًا بعد أن سحبت إصدارات حديثة منشورة من [email protected] و[email protected] تبعية خبيثة، وهي [email protected]، محوّلةً أحد أكثر عملاء HTTP استخدامًا في JavaScript إلى سلاح ضمن سلسلة الإمداد ضد مطوري العملات المشفرة. تَشهد Axios أكثر من 80 مليون عملية تنزيل أسبوعيًا على npm، ما يعني أن أي اختراق قصير الأمد قد يمتد تأثيره عبر مزوّدي محافظ العملات، روبوتات التداول، منصات التبادل والبنية التحتية للـ DeFi المبنية على Node.js. وفي تنبيهها، حذرت Slow Fog من أن “المستخدمين الذين قاموا بتثبيت [email protected] عبر npm install -g قد يكونون عُرضة للخطر”، مع توصية بإجراء تدوير فوري لبيانات الاعتماد وإجراء تحقيق شامل على مستوى الأجهزة بحثًا عن علامات الاختراق.

تعتمد الهجمة على حزمة تشفير مزيفة، وهي [email protected]، يتم إضافتها بهدوء كتَبعية جديدة، وتُستخدم فقط لتنفيذ نص postinstall مشفّر بشكل مُلتبس (obfuscated) يقوم بإسقاط حصان طروادة للوصول عن بُعد عبر منصات متعددة يستهدف أنظمة Windows وmacOS وLinux.

وأوضح مختبر الأمن StepSecurity أن “أي إصدار خبيث لا يحتوي على سطر واحد من كود خبيث داخل Axios نفسه”، وأن بدلًا من ذلك “كلاهما يُدخل تبعية مزيفة، وهي [email protected]، والغرض الوحيد منها هو تشغيل نص postinstall يقوم بنشر حصان طروادة للوصول عن بُعد عبر منصات متعددة (RAT).” وأشارت أبحاث فريق Socket إلى أن حزمة plain-crypto-js الخبيثة تم نشرها قبل دقائق فقط من إصدار axios المخترق، ووصفته بأنه “هجوم مُنسَّق على سلسلة الإمداد” ضد منظومة JavaScript.

اختراق حساب المُحافظ في Axios

وفقًا لـ StepSecurity، تم دفع إصدارات axios الخبيثة باستخدام بيانات اعتماد npm مسروقة تعود إلى المُحافظ الأساسي “jasonsaayman”، ما سمح للمهاجمين بتجاوز مسار الإصدارات المعتاد المعتمد على GitHub للمشروع. كتب مهندس الأمن Julian Harris على LinkedIn: “إنها عملية اختراق نشطة ضمن سلسلة الإمداد في [email protected]، والتي أصبحت تعتمد حديثًا على [email protected]—وهي حزمة نُشرت قبل ساعات وتم تحديدها كبرمجية خبيثة مُلتبسة (obfuscated) تُنفذ أوامر shell وتمحو الآثار.” قام npm الآن بإزالة الإصدارات الخبيثة والتراجع بحل axios إلى 1.14.0، لكن أي بيئة قامت بسحب 1.14.1 أو 0.3.4 خلال نافذة الهجوم تظل عُرضة للخطر حتى يتم تدوير الأسرار وإعادة بناء الأنظمة.

تُعيد هذه العملية للأذهان حوادث سابقة ضمن npm استهدفت مباشرة مستخدمي العملات المشفرة، بما في ذلك حملة في 2025 تم فيها تبديل عناوين المحافظ بشكل صامت لسرقة الأموال داخل 18 حزمة شائعة مثل chalk وdebug، ما دفع CTO لدى Ledger Charles Guillemet إلى التحذير بأن “الحزم المتأثرة تم تنزيلها بالفعل أكثر من مليار مرة.” كما وثّق الباحثون برمجيات خبيثة على npm تقوم بسرقة المفاتيح من محافظ Ethereum وXRP وSolana، وقدّر SlowMist أن عمليات اختراق العملات المشفرة والاحتيال — بما في ذلك حزم مُدخلة (backdoored) وهجمات على سلسلة الإمداد بمساعدة الذكاء الاصطناعي — تسببت بخسائر تجاوزت 2.3 مليار دولار في النصف الأول من 2025 وحده. وحتى الآن، تكون نصيحة Slow Fog حاسمة: خفّض إصدار axios إلى 1.14.0، وقم بمراجعة التبعيات بحثًا عن أي أثر لـ [email protected] أو openclaw، وافترض أن أي بيانات اعتماد تمّت مصادفتها ضمن تلك البيئات قد تم اختراقها.

تحذيرات سابقة حول سلسلة الإمداد للبرمجيات

في قصة سابقة على crypto.news حول هجمات سلسلة الإمداد في JavaScript، حذّر Guillemet من Ledger بأن حزم npm المخترقة التي لديها أكثر من 2 مليار تنزيل أسبوعيًا تشكل خطرًا منهجيًا على dApps والمحافظ المبنية على Node.js. وذكرت قصة أخرى كيف زرعت مجموعة Lazarus التابعة لكوريا الشمالية حزم npm خبيثة لاختراق بيئات المطورين (backdoor) واستهداف مستخدمي محافظ Solana وExodus. وفي قصة ثالثة على crypto.news حول برمجيات خبيثة من الجيل التالي، تم عرض كيف ساعدت هجمات اختراق سلسلة الإمداد عبر npm وأدوات ذكاء اصطناعي منخفضة التكلفة المجرمين على التحكم عن بُعد في أكثر من 4,200 جهاز كمبيوتر للمطورين وساهمت في خسائر بمليارات الدولارات في العملات المشفرة.