قالت شركة جوجل إن مئات الآلاف من الأسرار المسروقة قد تكون تتداول حالياً نتيجة لهذه الهجمات الأخيرة، حيث يُتهم قراصنة كوريون شماليون بالوقوف وراء الهجوم الكبير على موقع أكسيوس.
مجموعة تهديدات جوجل تحذر من هجوم مستمر على مكتبة Axios الشهيرة باستخدام برمجيات خبيثة من كوريا الشمالية
هل تتوقع أن أحد أكثر مكتبات جافاسكريبت انتشارًا يمكن أن تكون هدفًا للهجمات الإلكترونية؟ تحذر مجموعة معلومات التهديدات من جوجل من هجوم نشط يستهدف مكتبة Axios، التي تُعد من بين الأكثر استخدامًا لتسهيل طلبات HTTP في عالم تطوير الويب. هذا الهجوم يهدد ملايين المطورين حول العالم، ويكشف عن حملة معقدة لزرع برمجيات خبيثة عبر سلسلة التوريد البرمجية.
كيف يحدث الهجوم على مكتبة Axios؟
في بيان تحذيري، أكدت مجموعة معلومات التهديدات أن المهاجمين استهدفوا نسختين من مكتبة Axios، وهما الإصداران 1.14.1 و0.30.4، والتي تحظى بعدد تحميلات أسبوعية يزيد عن 100 مليون و83 مليون على التوالي. قام المهاجمون بمحاولة إدخال تبعية خبيثة باسم “plain-crypto-js”، وهي برنامج خادم مخفي يستخدم لاستضافة برمجية خبيثة تُعرف باسم WAVESHAPER.V2، والتي تنتشر عبر أنظمة Windows وmacOS وLinux.
ما هو WAVESHAPER.V2؟
وصف خبراء جوجل WAVESHAPER.V2 بأنه “حصان طروادة فعال”، قادر على تنفيذ مهام التجسس، مثل جمع البيانات، وتنفيذ أوامر عن بعد، والتعرف على نظام التشغيل والأجهزة. تم تطويره باستخدام لغة C++، مع وجود نسخ أخرى مكتوبة بPowerShell وPython تستهدف بيئات مختلفة.
وظائف WAVESHAPER.V2
- التجسس على الأنظمة: جمع وتحليل البيانات عن الأجهزة المستهدفة.
- تنفيذ الأوامر: القدرة على تنفيذ أوامر عشوائية والتحكم في الجهاز عن بعد.
- التعرف على النظام: جمع معلومات تفصيلية عن النظام المستهدف.
دلالات على ارتباطها بكوريا الشمالية
تشير التحليلات إلى أن WAVESHAPER.V2 هو نسخة محدثة من برمجية قديمة تسمى WAVESHAPER، والتي سبق أن استخدمها مجموعة تهديدات مرتبطة بكوريا الشمالية تُعرف باسم UNC1069. وأكدت جوجل أن هناك تطابقات واضحة بين البنية التحتية المستخدمة في هذا الهجوم والأعمال السابقة لهذه المجموعة، مما يعزز فرضية أن الحملة مدعومة من جهة كوريا الشمالية.
خلفية عن مجموعة UNC1069
يُعد UNC1069 من الجماعات التي ظهرت منذ 2018، وتُعرف بنشاطها المستمر واستهدافها لصناعات العملات الرقمية، باستخدام تقنيات متقدمة مثل الحسابات المزيفة، والمكالمات المزيفة على زووم، والفيديوهات المزيفة، وأنواع متعددة من البرمجيات الخبيثة لسرقة العملات الرقمية من المؤسسات المستهدفة.
نصائح مهمة للمطورين والشركات
- الحرص على تحديث مكتبات البرمجيات بشكل دوري.
- فحص واعتماد مصادر موثوقة عند إدخال التبعيات البرمجية.
- استخدام برامج حماية قوية ومحدثة.
- مراقبة الأنظمة بشكل مستمر للكشف المبكر عن أي نشاط غير معتاد.
هذه الحملة تؤكد الحاجة إلى يقظة مستمرة في عالم أمن المعلومات، خاصة مع تزايد الهجمات المستهدفة عبر سلسلة التوريد البرمجية، والتي يمكن أن تؤثر على ملايين المستخدمين بشكل غير مباشر.
احذروا: هجمات مستمرة على مكتبة Axios من قبل جهات مدعومة من كوريا الشمالية تهدد ملايين المطورين حول العالم
📌 هذا المقال تم إعادة تحريره باستخدام الذكاء الاصطناعي مع الحفاظ على المصدر الأصلي.