ملخص

في 31 مارس 2026 (الساعة 00:21 بالتوقيت العالمي للإصدار 1.14.1 والساعة 01:00 بالتوقيت العالمي للإصدار 0.30.4)، قام جهة تهديد غير معروفة باختراق حساب npm الخاص بمسؤول صيانة axios ونشر نسختين ضارتين من حزمة npm (v1.14.1, v0.30.4) ، والتي قدمت الاعتماد على plain-crypto-js، وهي حزمة ضارة تم إنشاؤها حديثًا. على الرغم من إزالة الإصدارات الضارة في غضون ساعات قليلة، إلا أن استخدام أكسيوس على نطاق واسع – موجود في حوالي 80% من البيئات السحابية والتعليمات البرمجية ويتم تنزيله حوالي 100 مليون مرة في الأسبوع – تمكين التعرض السريع، مع التنفيذ الملحوظ في 3% من البيئات المتأثرة. تُنصح المؤسسات بشدة بمراجعة بيئاتها للتنفيذ المحتمل لهذه الإصدارات (يتم تتبعها كـ GHSA-fw8c-xr5c-95f9 وMAL-2026-2306).

التفاصيل الفنية

الإصدارات الضارة من axios تختلف عن الإصدارات المشروعة من خلال تضمين الاعتماد على plain-crypto-js، حزمة طروادة. تم نشر هذه الإصدارات مباشرة عبر حساب المشرف المخترق وتمت إزالتها لاحقًا من npm بعد الكشف عنها. نظرًا لنافذة التعرض القصيرة ولكن مع ارتفاع معدل انتشار المحاور، أدى حتى التوفر المحدود إلى تنفيذ قابل للقياس عبر البيئات.

تتضمن الحزمة الضارة قطارة (setup.js) الذي يقوم بتنزيل وتنفيذ حمولات المرحلة الثانية الخاصة بالنظام الأساسي من sfrclak.com:8000، ثم يقوم بالتنظيف الذاتي عن طريق حذف نفسه واستعادة ملف package.json النظيف. تعمل حمولات المرحلة الثانية كأحصنة طروادة خفيفة الوزن للوصول عن بعد (RATs) ومنارة إلى خادم C2 كل 60 ثانية، حيث تنقل مخزون النظام وتنتظر الأوامر.

تنفذ جميع المتغيرات الثلاثة إمكانات مماثلة، بما في ذلك تنفيذ الصدفة عن بعد، والحقن الثنائي، وتصفح الدليل، وقائمة العمليات، واستطلاع النظام، مع اختلافها حسب نظام التشغيل. في نظام التشغيل macOS، تكون الحمولة عبارة عن نظام ثنائي عالمي Mach-O مجمع بلغة C++، وهو قادر على التوقيع الذاتي على الحمولات النافعة المحقونة عبر التصميم البرمجي. في نظام التشغيل Windows، الحمولة عبارة عن برنامج PowerShell النصي الذي يحدد الثبات عبر مفتاح تشغيل السجل (MicrosoftUpdate) وملف دفعي لإعادة التنزيل. في Linux، يتم تسليم الحمولة كبرنامج نصي Python.

ما هي الإجراءات التي يجب على فرق الأمن اتخاذها؟

  1. استخدام محاور التدقيق: تحديد ما إذا كانت الإصدارات المتأثرة (1.14.1, 0.30.4) تم تنزيلها أو تنفيذها في بيئتك. قم بإزالة أي عناصر ضارة على الفور من نقاط النهاية وأنظمة الإنشاء وأحمال عمل الإنتاج.

  2. تدوير بيانات الاعتماد المكشوفة: إذا كان هناك أي مؤشر على أنه تم تنفيذ الحزم الضارة، فافترض حدوث اختراق في بيانات الاعتماد. قم بمسح الأنظمة المتأثرة بحثًا عن الأسرار (على سبيل المثال، متغيرات البيئة، ومفاتيح API، والرموز المميزة) وقم بتدويرها وفقًا لذلك.

  3. التحقيق في مسارات التسوية المحتملة: قم بمراجعة مسارات البناء وأجهزة التطوير بحثًا عن علامات الوصول غير المصرح به أو استمراره، حيث يتم تنفيذ البرامج الضارة أثناء التثبيت وقد تؤدي إلى اختراق سلسلة التوريد الأولية.

  4. مراقبة النشاط المشبوه: اكتشاف الاتصالات الصادرة إلى sfrclak.com:8000 والتحقيق فيها، وتحليل سجلات سلوك الإشارة، أو طلبات HTTP POST الشاذة، أو تنفيذ العملية غير المتوقعة المتعلقة بتثبيت الحزمة.

كيف يمكن أن يساعد ويز؟

يمكن لعملاء Wiz الرجوع إلى الاستشارات الموجودة في Wiz Threat Center للحصول على إرشادات مستمرة واستعلامات معدة مسبقًا ومراجع للاكتشافات ذات الصلة التي يمكنهم استخدامها لتقييم المخاطر في بيئتهم واكتشاف وجود الحزمة الضارة أو عمليات التنفيذ السابقة.

هل تشعر بالقلق من تأثرك؟ تواصل مع فريق الاستجابة لحوادث Wiz.

مراجع

ملحق – مؤشرات التسوية (IOCs)

فئة مؤشر تفاصيل التجزئة
ملف com.apple.act.mond المرحلة الثانية (macOS)، Mach-O الثنائي SHA256: 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a
ملف Stage2.ps1 المرحلة الثانية (ويندوز)، البرنامج النصي PowerShell SHA256: 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101
ملف ld.py المرحلة الثانية (لينكس)، نص بايثون SHA256: fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf
ملف setup.js البرنامج النصي بالقطارة SHA256: e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09
ملف system.bat ويندوز استمرار البرنامج النصي SHA256: f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd
ملف system.bat البرنامج النصي لاستمرارية Windows (البديل) SHA256: e49c2732fb9861548208a78e72996b9c3c470b6b562576924bcc3a9fb75bf9ff
ملف 6202033.ps1 البرنامج النصي بوويرشيل SHA256: ed8560c1ac7ceb6983ba995124d5917dc1a00288912387a6389296637d5f815c
طَرد أكسيوس@1.14.1 حزمة ضارة SHA1: 2553649f232204966871cea80a5d0d6adc700ca
طَرد أكسيوس@0.30.4 حزمة ضارة SHA1: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
طَرد عادي-تشفير-js@4.2.1 حزمة طروادة SHA1: 07d889e2dadce6f3910dcbc253317d28ca61c766
اِختِصاص com.sfrclak[.]com المجال C2
اِختِصاص com.callnrwise[.]com مجال C2 (محوري)
الملكية الفكرية 142.11.206[.]73 C2 IP
عنوان URL hxxp://sfrclak.com:8000/6202033 عنوان URL لـ C2
شبكة المنفذ 8000 منفذ C2
شبكة /6202033 مسار الحملة
مسار الملف /Library/Caches/com.apple.act.mond مسار استمرارية نظام التشغيل MacOS
مسار الملف /tmp/.XXXXXX.scpt البرنامج النصي المؤقت لنظام التشغيل MacOS
مسار الملف /خاص/tmp/.* ملفات macOS المؤقتة
مسار الملف %PROGRAMDATA%\wt.exe قطعة أثرية ويندوز
مسار الملف %PROGRAMDATA%\system.bat ثبات ويندوز
مسار الملف %TEMP%\6202033.vbs البرنامج النصي ويندوز
مسار الملف %TEMP%\6202033.ps1 البرنامج النصي ويندوز
مسار الملف ٪درجة حرارة٪.ps1 برنامج Windows النصي (اسم متغير)
مسار الملف /tmp/ld.py البرنامج النصي لينكس
التسجيل HKCU\Software\Microsoft\Windows\CurrentVersion\Run مفتاح الثبات
التسجيل تحديث مايكروسوفت تشغيل اسم المفتاح
التسجيل %PROGRAMDATA%\system.bat تشغيل القيمة الرئيسية
طَرد @shadanai/openclaw الإصدارات: 2026.3.28-2؛ 2026.3.28-3; 2026.3.31-1؛ 2026.3.31-2
طَرد @qqbrowser/openclaw-qbot الإصدار: 0.0.130
حساب npm:جاسونسايمان معيل مخترق (ifstap@proton.me)
حساب npm:nrwise تم نشر عادي تشفير JS (nrwise@proton.me)
بريد إلكتروني nrwise@proton[.]أنا تهديد البريد الإلكتروني للممثل
بريد إلكتروني ifstap@proton[.]أنا تهديد البريد الإلكتروني للممثل
شاركها.
اترك تعليقاً