X

אירוע סייבר חריג: כך תתגוננו ב-4 צעדים

חוקרי סייבר מזהירים מפני מתקפה רחבה על שרשרת האספקה של חברות תוכנה, שפגעה עד כה במאות חבילות קוד ועשרות אלפי מאגרי קוד • כלי ייעודי מאפשר לזהות אם נעשה שימוש בחבילות נגועות

רון פלד
, עודכן
0השמעה
החבילות הפגועות נמצאות במאגרי קוד מוכרים ובעלי חשיפה גבוהה. צילום: GettyImages

מתקפת Sha1-Hulud מכה שנית: גל חדש וחריג בהיקפו פוגע כעת בשרשרת האספקה של חברות תוכנה. הבוקר (שני) חשפו חוקרי סייבר כי בימים האחרונים נפגעו מאות חבילות קוד (NPM) ועשרות אלפי מאגרי קוד (Git Repos) בהתקפה ממוקדת נגד מפתחי תוכנה. ההתקפה כללה מאות חבילות npm נגועות שהפעילו סקריפטים ופעולות אוטומטיות בזמן ההתקנה, אספו פרטי גישה רגישים של מפתחים, מערכות CI/CD ושירותי ענן, ושלחו אותם למאגרים שנמצאים בשליטת התוקפים.

החבילות הפגועות נמצאות במאגרי קוד מוכרים ובעלי חשיפה גבוהה, ונראה שאלפי מאגרים בעלי תלויות בחבילות קוד אלה הורידו גרסאות נגועות. מדובר על אירוע סייבר חריג בהיקפו, ונכון לשעה זו, הוא עדיין פעיל ומתפתח.

חברת Sola Security פיתחה כלי ייעודי שזמין בחינם ומאפשר לצוות אבטחת מידע וסייבר לזהות תוך דקות האם קיימות חבילות קוד נגועות בשימוש החברה או הארגון. צוות המחקר של Sola פרסם את שמות החבילות הידועות שנפגעו ממקורות שונים- במסמך זמין המתעדכן אחת לכמה דקות באתר.

מה אפשר לעשות עכשיו? 

  1. בדקו האם יש לכם תלות או שימוש בחבילות הקוד הנגועות

יש לבצע מעבר על הקוד, קובצי ה-lock, קובצי SBOM ורשימת החבילות שבהן נעשה שימוש בארגון. חפשו גרסאות npm שפורסמו בין 21 ל־23 בנובמבר 2025 ומופיעות ברשימת החבילות הפגועות.

אם מצאתם חבילה זדונית: מומלץ לבצע הערכת מצב להשפעה שתהיה להסרת הגרסה הנגועה, לבצע גיבוי ולאחר מכן לפעול להסרת הגרסה הזדונית. כמו כן מומלץ לבצע ניקוי של ה-Cache ולהתקין גרסה נקייה. כמו בכל חקירת אירוע סייבר, שמרו את הממצאים לצורך בדיקות פורנזיות.

שימוש ב-Sola Security 

  • חברו את Github כמקור מידע ל-Sola, התקינו את אפליקציית הזיהוי הייעודית Sha1-hulud מתוך Sola App Gallery. האפליקציה תציג באופן מיידי איזה חבילות נגועות קיימות בקוד.
  • לאחר מכן, אפשר לשאול את סוכן ה-AI של Sola כל שאלה בהקשרי האירוע ולהתייעץ על צעדים נוספים להמשך. 

  1. בצעו ביקורת על GitHub ומערכות ה-CI/CD

בדקו שינויים חשודים בימים האחרונים: מאגרים חדשים או לא מוכרים, קבצי Workflow ששונו, שימוש חריג בטוקנים, שינויי נראות של מאגרים, פעילות לא צפויה של אוטומציה או בוטים. 

  1. החליפו פרטי גישה אם זיהיתם חבילה פגועה

אם נמצאה חבילה זדונית במחשב מפתח אחד או יותר, תהליך CI או בנייה, יש להניח שסודות מהסביבה הזו דלפו. מומלץ להחליף:

  • טוקנים אישיים של GitHub או טוקנים של אוטומציה, טוקנים של npm, מפתחות API לשירותי ענן ושירותים נוספים, פרטי גישה של CI/CD ומשתני סביבה.

  1. בעתיד - הקשיחו את ההגנה על תהליכי הפיתוח

שימוש בהרשאות מינימליות לטוקנים, הפעלה של lock files או גרסאות מקובעות, ביטול סקריפטים בזמן התקנה ככל הניתן, שימוש בכלי סריקה אוטומטיים לסודות ובקרה על תקינות החבילות בשימוש. 

הכותב הוא שותף מייסד ב-Sola Security

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
טכנולוגיהמתקפת סייברסייבר

כדאי להכיר