اختراق حزمة Axios على npm: هجوم سلسلة التوريد ينشر برنامج تحكم عن بُعد متعدد المنصات

عاجل (31 مارس 2026): نُشرت نسختان خبيثتان من axios — إحدى أكثر الحزم استخدامًا على npm مع أكثر من 83 مليون تحميل أسبوعي — بعد أن اخترق مهاجم حساب المطور الرئيسي "jasonsaayman". الهجوم نشر حصان طروادة للوصول عن بُعد (RAT) قادر على تنفيذ أوامر عشوائية وسرقة البيانات.

إذا كنت تستخدم axios في أي مشروع، افحص ملفات القفل الآن. أنشأنا أداة مجانية للكشف والإصلاح.

ماذا حدث؟

الجدول الزمني

30 مارس، 05:59 UTC: نُشرت plain-crypto-js@4.2.0 (نسخة نظيفة للتمويه)
30 مارس، 23:59: نُشرت plain-crypto-js@4.2.1 (الحمولة الخبيثة)
31 مارس، ~00:00: نُشرت axios@1.14.1 مع التبعية الخبيثة
31 مارس، ~00:39: نُشرت axios@0.30.4 — الفرع الثاني خلال 39 دقيقة
31 مارس، ~02:00: أُزيلت النسخ الخبيثة من npm

الهجوم كان مخططًا بدقة: النسخة النظيفة نُشرت 18 ساعة قبل الحمولة الخبيثة. ثلاث حمولات لأنظمة تشغيل مختلفة كانت جاهزة مسبقًا.

الحمولة الخبيثة

التبعية المحقونة plain-crypto-js@4.2.1 تحتوي على:

macOS: سكريبت AppleScript → /Library/Caches/com.apple.act.mond
Windows: سكريبت PowerShell → %PROGRAMDATA%\wt.exe
Linux: سكريبت shell مع استمرارية
اتصال C2: يتصل بـ sfrclak[.]com:8000
التدمير الذاتي: البرنامج الخبيث يحذف نفسه ويستبدل package.json بنسخة نظيفة

درجة CVSS: 9.3 (حرج)

النسخ المتأثرة

الحزمة	مخترقة	آمنة
axios (1.x)	1.14.1 ❌	1.14.0 ✅
axios (0.x)	0.30.4 ❌	0.30.3 ✅

كيف تفحص مشروعك

أنشأنا check-axios-attack — أداة مجانية ومفتوحة المصدر:

# فحص سريع
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash
 
# فحص وإصلاح تلقائي
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash -s -- --fix

📖 الدليل الكامل: كيف تفحص وتصلح هجوم سلسلة توريد Axios

إذا كنت متأثرًا: إجراءات فورية

غيّر جميع المفاتيح والكلمات السرية فورًا
اعزل الأجهزة المتأثرة عن الشبكة
ارجع إلى نسخة آمنة: npm install axios@1.14.0
احذف التبعية الخبيثة: rm -rf node_modules/plain-crypto-js
أعد التثبيت النظيف: rm -rf node_modules && npm ci
افحص خطوط CI/CD — تأكد من عدم نشر بناءات مخترقة

لماذا هذا مهم

Axios مضمنة في ملايين المشاريع. نموذج التبعيات في npm يعني أن حزمة واحدة مخترقة يمكن أن تنتشر عبر سلسلة التوريد البرمجية بأكملها.

الوقاية

ثبّت نسخ محددة في package.json (بدون ^ أو ~)
استخدم ملفات القفل وثبّت دائمًا بـ npm ci
فعّل المصادقة الثنائية على npm
استخدم أدوات أمان سلسلة التوريد: Socket.dev، Snyk

المصادر

الأسئلة الشائعة

هل axios آمنة للاستخدام الآن؟

نعم — النسخ الخبيثة أُزيلت. استخدم 1.14.0 أو 0.30.3.

هل يؤثر هذا على تطبيقي (React/Vue/Angular)؟

إذا تم تثبيت axios 1.14.1 أو 0.30.4 خلال فترة الهجوم، نعم. افحص ملفات القفل.

ماذا يفعل حصان طروادة؟

يمكنه تنفيذ أوامر على نظامك، سرقة البيانات، والاستمرار بعد إعادة التشغيل.

هل بنيتك التحتية لـ Node.js آمنة؟ نقطة تقدم تدقيقات أمنية واستشارات DevSecOps لمشاريع JavaScript/TypeScript. تواصل معنا.

إذا كنت تستخدم axios في أي مشروع، افحص ملفات القفل الآن. أنشأنا أداة مجانية للكشف والإصلاح.

ماذا حدث؟

الجدول الزمني

30 مارس، 05:59 UTC: نُشرت plain-crypto-js@4.2.0 (نسخة نظيفة للتمويه)
30 مارس، 23:59: نُشرت plain-crypto-js@4.2.1 (الحمولة الخبيثة)
31 مارس، ~00:00: نُشرت axios@1.14.1 مع التبعية الخبيثة
31 مارس، ~00:39: نُشرت axios@0.30.4 — الفرع الثاني خلال 39 دقيقة
31 مارس، ~02:00: أُزيلت النسخ الخبيثة من npm

الحمولة الخبيثة

التبعية المحقونة plain-crypto-js@4.2.1 تحتوي على:

macOS: سكريبت AppleScript → /Library/Caches/com.apple.act.mond
Windows: سكريبت PowerShell → %PROGRAMDATA%\wt.exe
Linux: سكريبت shell مع استمرارية
اتصال C2: يتصل بـ sfrclak[.]com:8000
التدمير الذاتي: البرنامج الخبيث يحذف نفسه ويستبدل package.json بنسخة نظيفة

درجة CVSS: 9.3 (حرج)

النسخ المتأثرة

الحزمة	مخترقة	آمنة
axios (1.x)	1.14.1 ❌	1.14.0 ✅
axios (0.x)	0.30.4 ❌	0.30.3 ✅

كيف تفحص مشروعك

أنشأنا check-axios-attack — أداة مجانية ومفتوحة المصدر:

# فحص سريع
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash
 
# فحص وإصلاح تلقائي
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash -s -- --fix

📖 الدليل الكامل: كيف تفحص وتصلح هجوم سلسلة توريد Axios

إذا كنت متأثرًا: إجراءات فورية

غيّر جميع المفاتيح والكلمات السرية فورًا
اعزل الأجهزة المتأثرة عن الشبكة
ارجع إلى نسخة آمنة: npm install axios@1.14.0
احذف التبعية الخبيثة: rm -rf node_modules/plain-crypto-js
أعد التثبيت النظيف: rm -rf node_modules && npm ci
افحص خطوط CI/CD — تأكد من عدم نشر بناءات مخترقة

لماذا هذا مهم

الوقاية

ثبّت نسخ محددة في package.json (بدون ^ أو ~)
استخدم ملفات القفل وثبّت دائمًا بـ npm ci
فعّل المصادقة الثنائية على npm
استخدم أدوات أمان سلسلة التوريد: Socket.dev، Snyk

المصادر

الأسئلة الشائعة

هل axios آمنة للاستخدام الآن؟

نعم — النسخ الخبيثة أُزيلت. استخدم 1.14.0 أو 0.30.3.

هل يؤثر هذا على تطبيقي (React/Vue/Angular)؟

إذا تم تثبيت axios 1.14.1 أو 0.30.4 خلال فترة الهجوم، نعم. افحص ملفات القفل.

ماذا يفعل حصان طروادة؟

يمكنه تنفيذ أوامر على نظامك، سرقة البيانات، والاستمرار بعد إعادة التشغيل.

هل بنيتك التحتية لـ Node.js آمنة؟ نقطة تقدم تدقيقات أمنية واستشارات DevSecOps لمشاريع JavaScript/TypeScript. تواصل معنا.