لقد رأيت للتو حادثة خطيرة تتعلق بأمان سلسلة التوريد. تم اختراق مكتبة العميل HTTP الأكثر شعبية في JavaScript، axios.

باختصار، سرق المهاجمون رمز الوصول الخاص بصيانة axios على npm، ثم أصدروا نسختين تحتويان على حصان طروادة للوصول عن بُعد (الإصدارات 1.14.1 و 0.3.4)، تستهدف أنظمة macOS و Windows و Linux. استغرقت هذه النسخ الضارة حوالي 3 ساعات على سجل npm قبل أن يتم إزالتها.

الأمر الأكثر رعبًا هو نطاق التأثير. وفقًا لشركة الأمان Wiz، يتم تنزيل axios أكثر من مليار مرة أسبوعيًا، ويُستخدم في حوالي 80% من بيئات السحابة والبرمجيات. هذا يعني أن عدد الأنظمة المحتمل تأثرها قد يكون كبيرًا جدًا. كشفت شركة Huntress للأمان أنه بعد 89 ثانية فقط من إصدار الحزمة الضارة، تم اكتشاف أول حالات الإصابة، وخلال فترة الكشف، تم التأكد من أن ما لا يقل عن 135 نظامًا قد تم اختراقها.

الأكثر إثارة للاهتمام هو أن مشروع axios في الواقع قد قام بنشر آلية إصدار موثوقة باستخدام OIDC وإثباتات تتبع SLSA لهذه التدابير الأمنية الحديثة. ومع ذلك، تمكن المهاجمون من تجاوزها تمامًا. أظهرت التحقيقات أن المشكلة كانت في التكوين — حيث أن المشروع، مع تفعيل OIDC، لا زال يحتفظ برمز NPM_TOKEN طويل الأمد، وعند وجود الاثنين معًا، يختار npm بشكل افتراضي استخدام الرمز التقليدي. ونتيجة لذلك، لم يكن على المهاجمين اختراق OIDC، بل كان بإمكانهم ببساطة استخدام الرمز القديم للنشر بنجاح.

ماذا يُظهر هذا الحدث؟ أن حتى أكثر التدابير الأمنية حداثة وقوة، فإن التكوين غير الصحيح يمكن أن يجعلها بلا فائدة. يُعد مثال axios تذكيرًا بأن أمان سلسلة التوريد لا يقتصر على التقنية فقط، بل يتطلب أيضًا الانتباه للتفاصيل التنفيذية. إذا كانت مشاريعك أو تطبيقاتك تعتمد على مكتبات مفتوحة المصدر واسعة الاستخدام، فقد يكون من الضروري الآن فحص إصدارات الاعتماد الخاصة بك.