اتهمت تقارير أمنية دولية مجموعات قرصنة مرتبطة بكوريا الشمالية بالوقوف وراء هجوم سيبراني واسع استهدف واحدة من أشهر حزم البرمجيات مفتوحة المصدر في العالم، في عملية وُصفت بأنها من أخطر هجمات “سلسلة توريد البرمجيات” خلال السنوات الأخيرة بسبب امتداد تأثيرها إلى آلاف الشركات في قطاعات حيوية مختلفة.
مكتبة Axios في قلب الهجوم
وبحسب خبراء أمن سيبراني تحدثوا لشبكة “سي إن إن” ووسائل إعلام متخصصة، تمكن القراصنة من الوصول إلى حساب مطوّر رئيسي يدير مكتبة “Axios” الشهيرة، وهي مكتبة JavaScript مفتوحة المصدر تُستخدم لإجراء طلبات HTTP وتعتمد عليها ملايين التطبيقات والمواقع حول العالم، من بينها منصات مالية وشركات تكنولوجيا ومؤسسات تقدم خدمات في سوق العملات المشفرة.
تحديثات خبيثة خلال ساعات محدودة
واستمر اختراق حساب المطور لنحو ثلاث ساعات فقط صباح أحد أيام الثلاثاء، لكن هذه النافذة الزمنية القصيرة كانت كافية، وفقًا للخبراء، لضخ تحديثات خبيثة داخل نسخ جديدة من المكتبة، بحيث يتم تحميل الشيفرة الضارة تلقائيًا لكل مؤسسة أو مطور قام بتحديث الحزمة خلال تلك الفترة. ويشير متخصصون إلى أن نسخًا مسمومة من “Axios” تم نشرها على منصة “npm” مع تبعيات مخفية تحتوي على برمجيات ضارة تعمل كحصان طروادة داخل بيئات التطوير وأنظمة الشركات.
هجوم على سلسلة الإمداد البرمجية
ويصنف هذا النوع من العمليات باعتباره هجومًا على “سلسلة الإمداد البرمجية”، إذ يستغل ثقة الشركات والمطورين في أدوات مفتوحة المصدر معروفة وواسعة الاستخدام، بدلًا من استهداف كل شركة على حدة. وبمجرد تمرير التحديثات الخبيثة، تصبح أجهزة المطورين وخوادم البناء وبيئات التكامل المستمر (CI/CD) معرضة للاختراق، بما يفتح الباب أمام سرقة بيانات اعتماد حساسة أو التلاعب بالشيفرات المصدرية للمشاريع التي تعتمد على المكتبة.
أضرار تمتد لأشهر وتطال عشرات الشركات
التقييمات الأولية التي قدمتها شركات أمنية مثل “مانديانت” تشير إلى رصد اختراق عشرات الأجهزة داخل ما لا يقل عن 12 شركة أمريكية حتى الآن، مع تحذيرات من أن عدد المتضررين الفعلي قد يكون أكبر بكثير، نظرًا للانتشار الواسع لاستخدام “Axios” في البنية التحتية الرقمية العالمية. وتتوقع هذه الشركات أن يستغرق تقييم الحجم الكامل للأضرار والتعافي من آثار الهجوم عدة أشهر، مع استمرار التحقيقات للكشف عن مزيد من الأنظمة التي ربما تعرضت للاختراق دون أن تدرك ذلك بعد.
سرقة العملات المشفرة وتمويل برامج بيونغ يانغ
ويرجّح خبراء أن يكون الهدف الأساسي من العملية الجديدة هو سرقة العملات المشفرة من شركات وبورصات وأطراف أخرى تنشط في هذا السوق، وذلك لضخ عائداتها في تمويل البرامج النووية والصاروخية لبيونغ يانغ، في تكرار لنهج اتبعته كوريا الشمالية في هجمات سابقة استهدفت منصات ومنتجات رقمية حول العالم. وتؤكد تحليلات مراكز أبحاث ومؤسسات استخباراتية أن مجموعات القرصنة الكورية الشمالية نجحت خلال السنوات الماضية في جمع مئات الملايين من الدولارات من خلال هجمات متطورة على بنية الاقتصاد الرقمي العالمي.
تحذيرات للمطورين والشركات المعتمدة على البرمجيات المفتوحة
وحذّر باحثو أمن معلومات من أن هذا الهجوم يجب أن يكون جرس إنذار للمطورين والشركات المعتمدة على البرمجيات مفتوحة المصدر، داعين إلى تشديد إجراءات التحقق من سلامة التحديثات البرمجية، وتفعيل آليات مراقبة إضافية على حسابات مطوري المشاريع الحساسة، إلى جانب تبني استراتيجيات دفاعية محدثة ضد هجمات سلسلة التوريد التي باتت تستهدف قلب البنية التحتية للبرمجيات في العالم.
