בזמן שהקשב הלאומי מופנה לזירה הביטחונית, עולם הטכנולוגיה סוער בעקבות אחת מתקיפות "שרשרת האספקה" (Supply Chain Attack) המתוחכמות והנרחבות ביותר שנראו לאחרונה. היעד: Axios - ספריית הקוד הפופולרית ביותר בעולם להוצאת בקשות HTTP, שרשומה על כ-100 מיליון הורדות שבועיות ומהווה חלק בלתי נפרד ממיליוני אתרים ואפליקציות. האירוע רלוונטי במיוחד למי שעוסק ב"וייב קודינג" (Vibe Coding) או נעזר בכלי בינה מלאכותית כמו קלוד (Claude) לכתיבת סקריפטים ואוטומציות מבלי להיות מתכנת מקצועי.
Highlights
• הפריצה: חשבון מנהל של ספריית Axios נפרץ, ושתי גרסאות נגועות (1.14.1 ו-0.30.4) פורסמו עם קוד זדוני.
• הנזק: התקנת הגרסאות הללו מאפשרת לתוקפים שליטה מרחוק (RAT) על מחשבי Windows, Mac ו-Linux.
• התחכום: הווירוס כולל מנגנון "השמדה עצמית" המוחק את עקבות הקוד הזדוני לאחר ההתקנה הראשונית.
• קהל יעד: התקיפה פוגעת במיוחד במפתחים ובמשתמשי AI שהריצו אוטומציות או סקריפטים חדשים ביממה האחרונה.
• המלצה: לבדוק מיד את קבצי ה-Lock, לשנמך לגרסה בטוחה (כמו 1.14.0) ולהחליף סיסמאות ומפתחות גישה.
מה קרה?
חשבון ה-npm (מאגר חבילות הקוד) של אחד המנהלים הראשיים בפרויקט Axios נפרץ. התוקפים ניצלו את הגישה כדי לפרסם שתי גרסאות נגועות של הספרייה, הכוללות בתוכן קוד זדוני. הקוד הזה לא נמצא בתוך Axios עצמה, אלא הוזרק כ"תלות" (Dependency) חבויה בשם plain-crypto-js. ברגע שמשתמש מריץ פקודת התקנה סטנדרטית (npm install), הקוד הזדוני מופעל אוטומטית ומתקין על המחשב סוס טרויאני מסוג RAT (Remote Access Trojan) - כלי המאפשר לתוקפים שליטה מרחוק מלאה על המכשיר.
אם השתמשתם בגרסאות הבאות ביממה האחרונה, אתם בסכנה:
• axios@1.14.1
• axios@0.30.4
חשוב לדעת: הגרסאות הללו כבר הוסרו מהמאגר הרשמי, אך אם הקוד כבר הורד למחשב שלכם או הוטמע בפרויקט פעיל, הסכנה עדיין קיימת. התחכום כאן הוא אדיר. התוקפים לא שינו את הקוד של אקסיוס עצמה (מה שהיה מתגלה בבדיקות אוטומטיות), אלא הוסיפו לה "תלות" חיצונית בשם plain-crypto-js. מדובר בספרייה מזויפת שהוכנה מראש, ותפקידה היחיד הוא להפעיל סקריפט התקנה זדוני ברגע שהיא יורדת למחשב.
התקיפה תוארה על ידי מומחי אבטחה כ"Precision Strike" (תקיפה כירורגית). התוקפים הכינו את התשתית 18 שעות מראש ובנו מנגנון שמתאים את עצמו למערכת ההפעלה של הקורבן. לאחר שהווירוס חודר למחשב, הוא מוחק את עקבותיו מהתיקייה שבה הותקן הקוד, מה שהופך את הזיהוי בדיעבד לקשה מאוד.
אחד הדברים המדאיגים ביותר באירוע הזה הוא היכולת של הקוד למחוק את עקבותיו. לאחר שהווירוס חודר למערכת ומבצע את הקישור לשרת של התוקפים, הוא מוחק את קובץ ההתקנה המקורי ומשנה את שמות הקבצים בתיקיית הקוד שלכם כך שייראו תקינים לחלוטין. אם תסתכלו בתיקיות שלכם עכשיו, ייתכן שלא תראו שום דבר חשוד, למרות שהווירוס כבר פועל ברקע. זו הסיבה שמומחים ממליצים לבדוק את קבצי ה-Lock (הרישום ההיסטורי של ההתקנה) ולא רק את הקבצים על הדיסק.
למה זה קריטי עבור משתמשי AI?
חשוב לציין כי הסיכון הגבוה ביותר הוא עבור מי שהריץ התקנות קוד חדשות (npm install או npm update) בחלון הזמן של ה-31 במרץ 2026. זה כולל מפתחים מקצועיים, אבל בעיקר חובבנים שמשתמשים ב-AI וסומכים על הכלים שיעשו עבורם את העבודה השחורה.
אם ביקשתם מבינה מלאכותית (כמו קלוד או ChatGPT) לכתוב לכם דף נחיתה, כלי לאיסוף נתונים או אוטומציה פשוטה, והרצתם את הקוד אצלכם במחשב - ייתכן שה-AI השתמשה בגרסה הכי מעודכנת של Axios (שהייתה הנגועה). התקנה כזו לא דורשת אישור שלכם; היא קורית כחלק מהגדרות ברירת המחדל של סביבת הפיתוח.
אם המערכת שלכם משכה את הגרסה הנגועה, עליכם לצאת מנקודת הנחה שהמחשב כולו פרוץ – כולל סיסמאות ששמורות בדפדפן ומפתחות גישה ל-GitHub או ל-AWS.
מה עליכם לעשות עכשיו?
1. בדיקת קבצי Lock: חפשו בפרויקטים שלכם קבצים בשם package-lock.json או yarn.lock. חפשו בהם את המילה "axios" ובדקו את מספר הגרסה.
2. מחיקה והתקנה מחדש: אם מצאתם את הגרסאות הנגועות, מחקו את תיקיית node_modules ואת קובץ ה-lock, והתקינו גרסה בטוחה (כמו 1.14.0).
3. החלפת סיסמאות: אם הרצתם את הקוד הנגוע, עליכם לצאת מנקודת הנחה שהמחשב פרוץ. חובה להחליף מפתחות גישה (API Keys), סיסמאות וקודים של שירותי ענן (AWS, Google Cloud וכו') שהיו על המחשב.
4. חסימת תקשורת: חסמו במידת האפשר תקשורת יוצאת לכתובת ה-C2 שנמצאה בשימוש התוקפים: sfrclak.com.
בשפה פשוטה:
דמיינו שביקשתם מ"קלוד" או מכל בינה מלאכותית אחרת לבנות עבורכם אתר קטן או אוטומציה פשוטה. כדי שהקוד הזה יעבוד, ה-AI משתמש ב"כלי עבודה" פופולרי מאוד בשם Axios, שמשמש כמעט כל אתר אינטרנט בעולם כדי להתחבר לרשת. הבעיה היא שביממה האחרונה האקרים הצליחו לפרוץ למחסן הכלים העולמי של Axios והחליפו את הגרסה הרגילה בגרסה "מורעלת".
ברגע שאתם מפעילים את הקוד שקלוד כתב לכם, המחשב שלכם מוריד אוטומטית את הגרסה הנגועה, ובלי שתרגישו - נשתל אצלכם "סוס טרויאני" שנותן להאקרים שליטה מרחוק על המחשב.
החלק המתוחכם (והמפחיד) ביותר בתקיפה הזו הוא היכולת שלה להעלים ראיות. ברגע שהווירוס חודר למחשב, הוא מוחק את עקבות ההתקנה שלו ומשנה את שמות הקבצים כך שייראו כמו קבצי מערכת תקינים ומשעממים.
זה אומר שגם אם תסתכלו בתיקיות שלכם, הכל ייראה רגיל לחלוטין, בזמן שברקע האקרים יכולים לצפות במסך שלכם, לגנוב סיסמאות מהדפדפן ולשאוב מפתחות גישה לחשבונות רגישים. לכן, אם הרצתם קוד חדש שנוצר על ידי AI ביומיים האחרונים, עליכם לצאת מנקודת הנחה שהמחשב שלכם בסכנה ולהחליף סיסמאות חשובות בהקדם.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו