قراصنة كوريون شماليون يستهدفون سلسلة التوريد الرقمية العالمية
كشف باحثون في الأمن السيبراني عن هجوم خطير يستهدف سلسلة التوريد الرقمية، يُشتبه في أن قراصنة مرتبطين بكوريا الشمالية يقفون وراءه، بعد اختراق مكتبة برمجية شائعة الاستخدام وتحويلها إلى أداة لنشر برمجيات خبيثة على نطاق واسع.
وتُعد الحادثة من أخطر الاختراقات الحديثة نظراً لطبيعة الهدف، حيث استُخدمت مكتبة “Axios” مفتوحة المصدر، وهي واحدة من أكثر الأدوات استخداماً في تطوير التطبيقات، كوسيلة لإيصال برمجيات ضارة قادرة على سرقة بيانات حساسة ومنح المهاجمين وصولاً دائماً إلى الأنظمة.
وبحسب التحقيقات، تمكن المهاجمون من اختراق حساب المسؤول عن الحزمة على منصة npm، ما أتاح لهم نشر نسخ معدلة من المكتبة تحتوي على تعليمات خبيثة تستهدف أنظمة تشغيل متعددة، بما في ذلك macOS وWindows وLinux.
وتُظهر هذه العملية مستوى متقدماً من التخطيط، إذ لم يستهدف القراصنة أنظمة محددة بشكل مباشر، بل لجأوا إلى اختراق مكوّن برمجي أساسي يستخدمه ملايين المطورين حول العالم، ما يمنحهم قدرة على التسلل إلى عدد هائل من الأنظمة دفعة واحدة.
وربطت تحليلات شركة جوجل الهجوم بمجموعة تُعرف باسم UNC1069، وهي مجموعة يُعتقد أنها مرتبطة بكوريا الشمالية، وسبق أن استهدفت شركات تعمل في مجال العملات الرقمية والتمويل اللامركزي، في إطار أنشطة سيبرانية تهدف إلى تحقيق مكاسب مالية أو استخباراتية.
وتمكن المهاجمون من نشر نسختين خبيثتين على الأقل من المكتبة قبل اكتشاف الاختراق، حيث استمرت هذه النسخ في التداول لساعات، وهو وقت كافٍ لانتشارها في عدد من البيئات التقنية قبل إزالتها.
ورغم أن الجهات المعنية نجحت في احتواء الهجوم خلال نحو ثلاث ساعات، إلا أن خطورته لا تكمن في مدته الزمنية، بل في نطاق انتشاره، حيث تُستخدم مكتبة Axios في ملايين التطبيقات ويتم تنزيلها نحو 100 مليون مرة أسبوعياً.
وتشير التقديرات إلى أن هذه المكتبة موجودة في حوالي 80% من البيئات البرمجية والسحابية، ما يعني أن أي اختراق لها يمكن أن يتحول بسرعة إلى تهديد عالمي واسع النطاق.
وقد رُصدت النسخ الخبيثة في نحو 3% من البيئات التي تم فحصها حتى الآن، وهي نسبة تبدو محدودة ظاهرياً، لكنها تمثل في الواقع آلاف الأنظمة المحتملة التي قد تكون تعرضت للاختراق.
وتكشف هذه الحادثة عن هشاشة خطيرة في سلاسل التوريد البرمجية، حيث يعتمد المطورون بشكل متزايد على مكتبات مفتوحة المصدر دون تدقيق عميق في سلامتها، ما يجعلها نقطة ضعف يمكن استغلالها بسهولة.
والأخطر أن تأثير مثل هذه الهجمات لا ينتهي بإزالة الكود الخبيث، إذ يمكن أن تبقى البرمجيات المصابة مدمجة في مشاريع أخرى لفترات طويلة، ما يسمح باستمرار الاختراق بشكل غير مرئي.
كما أن طبيعة الهجوم تثير تساؤلات حول كيفية تمكن المهاجمين من الوصول إلى حساب المطور المسؤول، وهو ما يشير إلى احتمال وجود ثغرات في أنظمة الحماية أو ضعف في إجراءات التحقق.
وتندرج هذه العملية ضمن نمط متصاعد من الهجمات التي تستهدف سلسلة التوريد الرقمية، والتي تُعد من أكثر الأساليب فعالية في عالم الاختراقات، لأنها تتيح للمهاجمين تجاوز أنظمة الحماية التقليدية عبر استغلال مصادر موثوقة.
في هذا السياق، تحذر تقارير أمنية من أن الهجمات السيبرانية لم تعد مجرد أدوات تخريب، بل أصبحت جزءاً من صراعات جيوسياسية أوسع، حيث تستخدمها دول أو جهات مرتبطة بها لتحقيق أهداف استراتيجية.
الرابط المختصر https://gulfnews24.net/?p=74551