ملخص
في 31 مارس 2026 (الساعة 00:21 بالتوقيت العالمي للإصدار 1.14.1 والساعة 01:00 بالتوقيت العالمي للإصدار 0.30.4)، قام جهة تهديد غير معروفة باختراق حساب npm الخاص بمسؤول صيانة axios ونشر نسختين ضارتين من حزمة npm (v1.14.1, v0.30.4) ، والتي قدمت الاعتماد على plain-crypto-js، وهي حزمة ضارة تم إنشاؤها حديثًا. على الرغم من إزالة الإصدارات الضارة في غضون ساعات قليلة، إلا أن استخدام أكسيوس على نطاق واسع – موجود في حوالي 80% من البيئات السحابية والتعليمات البرمجية ويتم تنزيله حوالي 100 مليون مرة في الأسبوع – تمكين التعرض السريع، مع التنفيذ الملحوظ في 3% من البيئات المتأثرة. تُنصح المؤسسات بشدة بمراجعة بيئاتها للتنفيذ المحتمل لهذه الإصدارات (يتم تتبعها كـ GHSA-fw8c-xr5c-95f9 وMAL-2026-2306).
التفاصيل الفنية
الإصدارات الضارة من axios تختلف عن الإصدارات المشروعة من خلال تضمين الاعتماد على plain-crypto-js، حزمة طروادة. تم نشر هذه الإصدارات مباشرة عبر حساب المشرف المخترق وتمت إزالتها لاحقًا من npm بعد الكشف عنها. نظرًا لنافذة التعرض القصيرة ولكن مع ارتفاع معدل انتشار المحاور، أدى حتى التوفر المحدود إلى تنفيذ قابل للقياس عبر البيئات.
تتضمن الحزمة الضارة قطارة (setup.js) الذي يقوم بتنزيل وتنفيذ حمولات المرحلة الثانية الخاصة بالنظام الأساسي من sfrclak.com:8000، ثم يقوم بالتنظيف الذاتي عن طريق حذف نفسه واستعادة ملف package.json النظيف. تعمل حمولات المرحلة الثانية كأحصنة طروادة خفيفة الوزن للوصول عن بعد (RATs) ومنارة إلى خادم C2 كل 60 ثانية، حيث تنقل مخزون النظام وتنتظر الأوامر.
تنفذ جميع المتغيرات الثلاثة إمكانات مماثلة، بما في ذلك تنفيذ الصدفة عن بعد، والحقن الثنائي، وتصفح الدليل، وقائمة العمليات، واستطلاع النظام، مع اختلافها حسب نظام التشغيل. في نظام التشغيل macOS، تكون الحمولة عبارة عن نظام ثنائي عالمي Mach-O مجمع بلغة C++، وهو قادر على التوقيع الذاتي على الحمولات النافعة المحقونة عبر التصميم البرمجي. في نظام التشغيل Windows، الحمولة عبارة عن برنامج PowerShell النصي الذي يحدد الثبات عبر مفتاح تشغيل السجل (MicrosoftUpdate) وملف دفعي لإعادة التنزيل. في Linux، يتم تسليم الحمولة كبرنامج نصي Python.
ما هي الإجراءات التي يجب على فرق الأمن اتخاذها؟
-
استخدام محاور التدقيق: تحديد ما إذا كانت الإصدارات المتأثرة (
1.14.1,0.30.4) تم تنزيلها أو تنفيذها في بيئتك. قم بإزالة أي عناصر ضارة على الفور من نقاط النهاية وأنظمة الإنشاء وأحمال عمل الإنتاج. -
تدوير بيانات الاعتماد المكشوفة: إذا كان هناك أي مؤشر على أنه تم تنفيذ الحزم الضارة، فافترض حدوث اختراق في بيانات الاعتماد. قم بمسح الأنظمة المتأثرة بحثًا عن الأسرار (على سبيل المثال، متغيرات البيئة، ومفاتيح API، والرموز المميزة) وقم بتدويرها وفقًا لذلك.
-
التحقيق في مسارات التسوية المحتملة: قم بمراجعة مسارات البناء وأجهزة التطوير بحثًا عن علامات الوصول غير المصرح به أو استمراره، حيث يتم تنفيذ البرامج الضارة أثناء التثبيت وقد تؤدي إلى اختراق سلسلة التوريد الأولية.
-
مراقبة النشاط المشبوه: اكتشاف الاتصالات الصادرة إلى sfrclak.com:8000 والتحقيق فيها، وتحليل سجلات سلوك الإشارة، أو طلبات HTTP POST الشاذة، أو تنفيذ العملية غير المتوقعة المتعلقة بتثبيت الحزمة.
كيف يمكن أن يساعد ويز؟
يمكن لعملاء Wiz الرجوع إلى الاستشارات الموجودة في Wiz Threat Center للحصول على إرشادات مستمرة واستعلامات معدة مسبقًا ومراجع للاكتشافات ذات الصلة التي يمكنهم استخدامها لتقييم المخاطر في بيئتهم واكتشاف وجود الحزمة الضارة أو عمليات التنفيذ السابقة.
هل تشعر بالقلق من تأثرك؟ تواصل مع فريق الاستجابة لحوادث Wiz.
مراجع
ملحق – مؤشرات التسوية (IOCs)
| فئة | مؤشر | تفاصيل | التجزئة |
|---|---|---|---|
| ملف | com.apple.act.mond | المرحلة الثانية (macOS)، Mach-O الثنائي | SHA256: 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a |
| ملف | Stage2.ps1 | المرحلة الثانية (ويندوز)، البرنامج النصي PowerShell | SHA256: 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101 |
| ملف | ld.py | المرحلة الثانية (لينكس)، نص بايثون | SHA256: fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf |
| ملف | setup.js | البرنامج النصي بالقطارة | SHA256: e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09 |
| ملف | system.bat | ويندوز استمرار البرنامج النصي | SHA256: f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd |
| ملف | system.bat | البرنامج النصي لاستمرارية Windows (البديل) | SHA256: e49c2732fb9861548208a78e72996b9c3c470b6b562576924bcc3a9fb75bf9ff |
| ملف | 6202033.ps1 | البرنامج النصي بوويرشيل | SHA256: ed8560c1ac7ceb6983ba995124d5917dc1a00288912387a6389296637d5f815c |
| طَرد | أكسيوس@1.14.1 | حزمة ضارة | SHA1: 2553649f232204966871cea80a5d0d6adc700ca |
| طَرد | أكسيوس@0.30.4 | حزمة ضارة | SHA1: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71 |
| طَرد | عادي-تشفير-js@4.2.1 | حزمة طروادة | SHA1: 07d889e2dadce6f3910dcbc253317d28ca61c766 |
| اِختِصاص | com.sfrclak[.]com | المجال C2 | – |
| اِختِصاص | com.callnrwise[.]com | مجال C2 (محوري) | – |
| الملكية الفكرية | 142.11.206[.]73 | C2 IP | – |
| عنوان URL | hxxp://sfrclak.com:8000/6202033 | عنوان URL لـ C2 | – |
| شبكة | المنفذ 8000 | منفذ C2 | – |
| شبكة | /6202033 | مسار الحملة | – |
| مسار الملف | /Library/Caches/com.apple.act.mond | مسار استمرارية نظام التشغيل MacOS | – |
| مسار الملف | /tmp/.XXXXXX.scpt | البرنامج النصي المؤقت لنظام التشغيل MacOS | – |
| مسار الملف | /خاص/tmp/.* | ملفات macOS المؤقتة | – |
| مسار الملف | %PROGRAMDATA%\wt.exe | قطعة أثرية ويندوز | – |
| مسار الملف | %PROGRAMDATA%\system.bat | ثبات ويندوز | – |
| مسار الملف | %TEMP%\6202033.vbs | البرنامج النصي ويندوز | – |
| مسار الملف | %TEMP%\6202033.ps1 | البرنامج النصي ويندوز | – |
| مسار الملف | ٪درجة حرارة٪ |
برنامج Windows النصي (اسم متغير) | – |
| مسار الملف | /tmp/ld.py | البرنامج النصي لينكس | – |
| التسجيل | HKCU\Software\Microsoft\Windows\CurrentVersion\Run | مفتاح الثبات | – |
| التسجيل | تحديث مايكروسوفت | تشغيل اسم المفتاح | – |
| التسجيل | %PROGRAMDATA%\system.bat | تشغيل القيمة الرئيسية | – |
| طَرد | @shadanai/openclaw | الإصدارات: 2026.3.28-2؛ 2026.3.28-3; 2026.3.31-1؛ 2026.3.31-2 | – |
| طَرد | @qqbrowser/openclaw-qbot | الإصدار: 0.0.130 | – |
| حساب | npm:جاسونسايمان | معيل مخترق (ifstap@proton.me) | – |
| حساب | npm:nrwise | تم نشر عادي تشفير JS (nrwise@proton.me) | – |
| بريد إلكتروني | nrwise@proton[.]أنا | تهديد البريد الإلكتروني للممثل | – |
| بريد إلكتروني | ifstap@proton[.]أنا | تهديد البريد الإلكتروني للممثل | – |
