قراصنة كوريون شماليون يختطفون Axios في هجوم على سلسلة التوريد استغرق أسابيع للإعداد
مشروع واسع الاستخدام يتحول إلى ناقل للهجمات السيبرانية
اختطفت عملية سيبرانية كورية شمالية لفترة وجيزة Axios، أحد أكثر مشاريع المصادر المفتوحة استخدامًا على الويب، في هجوم وقع في 31 مارس ويبدو أنه كان قيد الإعداد لأسابيع. يؤكد هذا الاختراق كيف يستهدف القراصنة المدعومون من الدول بشكل متزايد البنية التحتية البرمجية الموثوقة، حيث يمكن أن ينتشر اختراق واحد عبر آلاف الأنظمة.
Axios هي مكتبة JavaScript شائعة يستخدمها المطورون لربط التطبيقات بالإنترنت. نظرًا لأنها جزء من العديد من بنيات البرامج، فإن اختراق المشروع يمكن أن تكون له عواقب تتجاوز المشروع نفسه بكثير. في هذه الحالة، كانت التحديثات الضارة متاحة لمدة ثلاث ساعات فقط قبل سحبها، ولكن قد تكون هذه الفترة كافية لإصابة آلاف الأنظمة.
تم توثيق الهجوم في تقرير ما بعد الوفاة (post-mortem) من قبل جيسون سايمان، الذي يدير المشروع وقدم الجدول الزمني للاختراق. وفقًا لسايمان، بدأ المهاجمون في استهدافه قبل حوالي أسبوعين من سيطرتهم على جهاز الكمبيوتر الخاص به واستخدامه لنشر تعليمات برمجية ضارة.
عملية احتيال طويلة مبنية على الثقة
اعتمدت العملية على الصبر أكثر من القوة الغاشمة. قال سايمان إن المهاجمين انتحلوا صفة شركة حقيقية، وأنشأوا مساحة عمل مقنعة على Slack، وملأوها بملفات تعريف موظفين مزيفة لجعل الخدعة تبدو مشروعة. ثم دعوه إلى اجتماع عبر الويب دفعه إلى تنزيل برامج ضارة متنكرة في شكل تحديث مطلوب للانضمام إلى المكالمة.
قال سايمان إن الطعم يتطابق مع تقنية مرتبطة سابقًا بقراصنة كوريين شماليين وتم تحديدها من قبل باحثي الأمن في Google: نهج الهندسة الاجتماعية الذي يقنع الأهداف بتثبيت برامج تمنح المهاجمين وصولاً عن بعد. في هذه الحالة، يبدو أن هذا الوصول كان المفتاح لدفع إصدارات Axios الضارة.
يوضح الحادث لماذا أصبح القائمون على صيانة المصادر المفتوحة أهدافًا عالية القيمة. غالبًا ما يتم صيانة المشاريع الشائعة بواسطة فرق صغيرة أو حتى مطور واحد، ومع ذلك يمكن تضمينها في عدد لا يحصى من التطبيقات والخدمات. وهذا يجعل الأجهزة الشخصية للقائمين على الصيانة نقطة دخول جذابة للمهاجمين الذين يتطلعون إلى اختراق البرامج على نطاق واسع.
الخطر يمتد إلى ما هو أبعد من مشروع واحد
احمِ خصوصيتك مع Doppler VPN
تجربة مجانية لمدة 3 أيام. بدون تسجيل. بدون سجلات.
تمت إزالة حزم Axios الضارة بسرعة، ولكن ليس قبل أن تتاح لها فرصة للانتشار. أي نظام قام بتثبيت أحد الإصدارات المخترقة خلال فترة التعرض القصيرة قد يكون عرضة لسرقة المفاتيح الخاصة وبيانات الاعتماد وكلمات المرور المخزنة على هذا الجهاز. يمكن بعد ذلك استخدام هذه الأسرار المسروقة للتوغل أعمق في أنظمة وخدمات أخرى، مما يحول حادث سلسلة توريد البرامج إلى اختراق أوسع.
هذا الاحتمال هو ما يجعل هذا النوع من الهجمات مقلقًا للغاية. قد يكون الضحية المباشر هو جهاز كمبيوتر محمول لمطور أو مستودع حزم واحد، ولكن الهدف النهائي يمكن أن يكون أوسع بكثير: المستخدمون والمنظمات التي تثق بالمشروع كجزء من حزمة برامجها الخاصة.
يتناسب حادث Axios أيضًا مع نمط أوسع. يظل القراصنة الكوريون الشماليون من بين أكثر التهديدات السيبرانية نشاطًا على الإنترنت، وقد تم ربطهم مرارًا وتكرارًا بعمليات تجمع بين الهندسة الاجتماعية وسرقة بيانات الاعتماد وبرامج الوصول عن بعد. غالبًا ما تطمس حملاتهم الخط الفاصل بين التجسس والجريمة بدافع مالي، مع سرقة العملات المشفرة كجزء متكرر من هذا المزيج.
دليل عمل مألوف، تحذير أكبر
ما يجعل هذا الاختراق الأخير بارزًا ليس فقط الهدف، بل الطريقة المنهجية التي تطور بها. لم يستغل المهاجمون مجرد عيب تقني في رمز المشروع. لقد استثمروا الوقت في بناء هوية موثوقة، وكسب ثقة القائم على الصيانة، وفي النهاية الحصول على الوصول إلى الجهاز المستخدم لنشر التحديثات الرسمية.
يسلط هذا النهج الضوء على حقيقة صعبة لأنظمة المصادر المفتوحة: أمن البرامج واسعة الاستخدام لا يعتمد فقط على مراجعة التعليمات البرمجية ومراقبة الحزم، ولكن أيضًا على الدفاعات الشخصية للأشخاص الذين يديرون التعليمات البرمجية. مع استمرار القراصنة المدعومين من الدول والجماعات الإجرامية في استهداف هؤلاء القائمين على الصيانة، تصبح سلسلة التوريد نفسها خط المواجهة في الصراع السيبراني.
لم يستجب سايمان على الفور لأسئلة المتابعة حول الحادث. لا يزال النطاق الكامل للاختراق قيد التقييم، لكن الدرس واضح بالفعل: عندما يتم اختطاف برنامج موثوق به، يمكن أن يمتد نطاق التأثير إلى ما هو أبعد بكثير من المشروع الذي تم اختراقه.
المصادر: