هجوم على سلسلة التوريد في أكسيوس قد يعرض محافظ العملات المشفرة للخطر

قد تكون مكتبة Axios، إحدى أشهر مكتبات جافا سكريبت، مخترقة ومتورطة في هجوم على محافظ العملات الرقمية. وتتزايد هجمات حزم npm، حيث تستهدف المشاريع والمطورين والمستخدمين النهائيين بشكل مباشر. 

تم نشر حزمة Axios npm في مكتبة جافا سكريبت الرسمية، ثم أُزيلت بعد ساعات قليلة. وقد اعترض خبراء أمن سلسلة الكتل الهجوم الذي استمر لمدة ثلاث ساعات تقريبًا. 

@npmjs @GHSecurityLab هناك هجوم نشط على سلسلة التوريد على [email protected] ، والذي يستدعي حزمة خبيثة نُشرت اليوم – [email protected] – وقد استولى شخص ما على حساب مسؤول صيانة Axios

— ماكسويل (@mvxvvll) ٣١ مارس ٢٠٢٦

تم اختراق حزم npm باستخدام بيانات اعتمادdent، حيث لا يزال الباحثون يبحثون عن دلائل على اختراق الحساب. وتم تحديد الحزم المتأثرةdentأنها [email protected] و [email protected].

كما Cryptopolitan ذكر سابقًا، غالبًا ما تستهدف هجمات npm محافظ العملات المشفرة وتكون محفوفة بالمخاطر بشكل خاص بالنسبة للمشاريع اللامركزية التي تمتلك فرق عمل كبيرة. 

ماذا حدث في هجوم Axios npm؟ 

شركة StepSecurity من أوائل الشركات التي اكتشفتdent. فقد تم نشر نسختين خبيثتين من مكتبة عميل Axios HTTP من خلال بيانات اعتماد مخترقةdentكبار مطوري Axios، متجاوزةً بذلك مسار النشر المعتاد على GitHub. 

بحسب شركة StepSecurity، يُعدّ هذا الهجوم الأكثر تطورًا ضدّ حزمة npm من بين أفضل عشر حزم استخدامًا. تقوم النسخة الخبيثة من الحزمة بحقن تبعية جديدة، [email protected]، غير مُستوردة في شفرة مصدر axios. تُشغّل هذه التبعية برنامجًا نصيًا يُنفّذ بعد التثبيت، وهو مُفعّل على جميع أنظمة التشغيل. 

بعد استخدام npm، يُصاب جهاز المستخدم ببرنامج خبيث يُتيح الوصول عن بُعد، ويحتوي هذا البرنامج على خادم مباشر يقوم بتوزيع الحمولات الضارة. البرنامج الخبيث بحذف نفسه واستبدال ملف .json المشتبه به بنسخة نظيفة لتجنب اكتشافه. 

ما هي أنواع المشاريع التي تأثرت؟

كانت حزم npm من بين الأكثر شيوعًا، حيث بلغ عدد تنزيلاتها الأسبوعية 100 مليون تنزيل. مع ذلك، لم ترد حتى الآن أي تقارير عن عمليات تحويل غير مصرح بها للعملات الرقمية. في السابق، لم تتجاوز خسائر العملات الرقمية الناتجة عن هجوم على npm ألف دولار أمريكي من عملات غير معروفة. 

الطريقة الوحيدة للحد من استخدام npm الضار هي tracالإصدارات وعدم السماح بالترقيات التلقائية، أو التحقق من الإصدارات الجديدة بحثًا عن عمليات تحميل ضارة محتملة. 

هجوم جديد على سلسلة التوريد هذه المرة على مكتبة npm axios، وهي مكتبة عميل HTTP الأكثر شعبية مع 300 مليون عملية تنزيل أسبوعيًا.

أثناء فحص نظامي، وجدتُ ملفًا مستوردًا من googleworkspace/cli يعود إلى بضعة أيام مضت عندما كنتُ أجرب واجهة سطر الأوامر لـ gmail/gcal. لحسن الحظ، النسخة المثبتة هي... https://t.co/9DOVWH5KK1

– أندريه كارباثي (@ كارباثي) 31 مارس 2026

اكتشف الباحثون أيضًا حزمتين خبيثتين إضافيتين تُوزّعان حمولاتهما بنفس الطريقة، وهما @shadanai/openclaw و@qqbrowser/openclaw-qbot. ويأتي هذا الهجوم بعد أسبوع واحد فقط من هجوم حقن الشفرة الخبيثة LiteLLM. 

لم ترد أي تقارير عن تأثر مشاريع Web3 أو OpenClaw أو سرقة أي عملات مشفرة خلال فترة الهجوم. مع ذلك، صدرت تحذيرات من أن هجمات npm قد تصبح الآن أمرًا شائعًا، إما عبر بيانات اعتماد مسروقةdentناشرين غير مصرح لهم. ويأتي هذا التهديد في أعقاب تحذيرات سابقة بشأن برمجيات خبيثة تستخدم منصة مهارات OpenClaw. 

لا تقتصر هذه الحزم على مشاريع Web3 أو مشاريع الروبوتات، وقد تؤثر على أي حمولات مرتبطة بمحافظ العملات الرقمية. كما أن فقدان الثقة في تثبيتات npm وpip للغة بايثون قد يُضعف الثقة العامة في بيئة المكتبات، مما يُثير دعواتٍ إلى مسار تحميل أكثر أمانًا. 

قد يؤدي استخدام برامج الذكاء الاصطناعي أيضًا إلى تنزيل حزم عشوائية، مما يزيد من انتشار التهديد. قد لا تظهر الآثار الفعلية على محافظ العملات الرقمية بشكل فوري، لكنها مع ذلك تُعرّض بيانات المحفظة للخطر.