אחרי קלוד ו-ChatGPT: האקרים מזריקים רעל לקוד של מיקרוסופט

מה שהחל בעבר כאירוע נדיר שמדיר שינה מעיניהם של מנהלי אבטחת מידע, הפך בשנת 2026 לסיוט שבועי קבוע שמאיים למוטט את האמון בכל מערך הקוד הפתוח העולמי. מתקפת שרשרת אספקה, שבה האקרים משתילים קוד זדוני בתוך כלי תוכנה לגיטימי ותמים לחלוטין, הפכה לנשק קטלני בידיה של קבוצת פשעי הסייבר TeamPCP. הקורבן התורן והגדול ביותר שלה עד כה? ענקית פיתוח הקוד GitHub.

פלטפורמת GitHub, הנמצאת בבעלות מיקרוסופט, אישרה רשמית כי חוותה פריצה משמעותית למערכותיה. האירוע החל כאשר אחד ממפתחי החברה התקין בשוגג הרחבה "מורעלת" עבור VSCode (עורך הקוד הנפוץ בעולם, גם הוא מבית מיקרוסופט). דרך אותה פרצה, הצליחו ההאקרים לחדור עמוק לתוך הרשת של החברה.

כעת, חברי TeamPCP טוענים בגלוי בפורום פשעי הסייבר BreachForums כי שמו את ידיהם על קוד המקור של פלטפורמת האם, והם מציעים כ-4,000 מאגרי קוד למכירה לכל המרבה במחיר. גוגל ומיקרוסופט בלחץ? ב-GitHub מיהרו להרגיע וציינו כי לפחות 3,800 מאגרים שאומתו כפרוצים הכילו קוד פנימי של החברה בלבד, ולא מידע או קוד של לקוחותיה.

המכונה המשומנת של TeamPCP

לפי ניתוח של חברת אבטחת שרשרת האספקה Socket, קבוצת TeamPCP ביצעה בחודשים האחרונים בלבד לא פחות מ-20 "גלי מתקפות", במסגרתם הדביקה יותר מ-500 כלי תוכנה ורכיבי קוד שונים. שיטת הפעולה שלהם מבריקה באכזריותה ויוצרת אפקט היזון חוזר שקשה מאוד לעצירה:

השלב הראשון: ההאקרים משיגים גישה לרשת שבה מפותח כלי קוד פתוח פופולרי (כמו תוסף ל-VSCode או ספריית הוויזואליזציה AntV שנפרצה לאחרונה).

השלב השני: הם שותלים בתוכו נוזקה חשאית, שמופצת אוטומטית למחשבים של מפתחי תוכנה אחרים ברחבי העולם שמורידים את העדכון השגרתי.

השלב השלישי: הנוזקה גונבת מאותם מפתחים את מפתחות הגישה האישיים שלהם, מה שמאפשר להאקרים לפרסם גרסאות מורעלות של כלים נוספים שהמפתחים האלו אחראים עליהם. המעגל מזין את עצמו, ורשת החברות שנפרצות הולכת וגדלה באופן אקספוננציאלי.

כדי להאיץ את התהליך, הקבוצה עברה לאחרונה להשתמש בתולעת מחשב אוטומטית שמפיצה את עצמה במהירות, וזכתה לשם Mini Shai-Hulud (על שם תולעי החול הענקיות מסדרת הספרים "חולית" - רמז שההאקרים עצמם השאירו בתוך הקוד המוצפן ששתלו אצל הקורבנות).

מרנסום ועד גיאופוליטיקה

הקבוצה, שהגיחה לראשונה בשלהי 2025 כשניצלה פרצות אבטחה בכלי הפיתוח Next.js לצורך כריית קריפטו, שדרגה את עצמה במהירות לאימפריית פשע פיננסית. אתר ה-Dark Web הרשמי שלהם מעוצב עם שורות קוד נופלות בסגנון "מטריקס", מלווה במוזיקת רגאי-פיוז'ן, ומתהדר בכותרת: "TEAMPCP: החתולים שחטפו לכם את שרשרת האספקה".

למרות שהמניע המרכזי שלהם הוא כסף, ובמהלך חודש אפריל האחרון הם אף עברו למודל של "כופר כשירות" בשיתוף פעולה עם פלטפורמות פשע כמו DragonForce - הקבוצה לא מהססת לערב גיאופוליטיקה. החוקרים גילו כי הקבוצה הפיצה נוזקה הרסנית מסוג Wiper (שזכתה לשם CanisterWorm) אשר מוחקת תשתיות ענן לחלוטין - אך מפעילה את מנגנון ההרס אך ורק כאשר היא מזהה שהיעד נמצא על אדמת איראן.

במקרה של GitHub, ההאקרים הבהירו בפורום כי אין להם עניין לנהל משא ומתן מול החברה: "זה לא כופר. לא אכפת לנו לסחוט את GitHub. קונה אחד, ואנחנו גורסים את המידע אצלנו". עם זאת, הם שיגרו איום מרומז: "נראה שהפרישה שלנו קרובה, אז אם לא יימצא קונה בקרוב - נדליף את הכל בחינם לרשת".

איך מתגוננים?

היקף הנזק הנוכחי של TeamPCP כבר מוגדר כמגיפה בעולם ההייטק. מעבר ל-GitHub, ברשימת הנפגעות מהחודשים האחרונים ניתן למצוא את אתר האינטרנט הציבורי של הנציבות האירופית, קוד המקור של מודל ה-Claude של חברת אנתרופיק, מכשירים של שני עובדי OpenAI, וחברת גיוס כוח האדם הטכנולוגי Mercor.

נתנאל קוויסט, מנהל מודיעין הסייבר בחברת Palo Alto Networks, מדגיש כי המפתח להצלחה האגרסיבית של ההאקרים הוא השימוש הבלתי מבוקר במפתחות גישה ארוכי-טווח. "חיוני באופן קריטי לרענן ולהחליף את מפתחות הגישה שלכם ב-GitHub, GitLab, AWS או Azure, גם אם אתם לא משתמשים בכלים שנפגעו", הוא מזהיר.

בן ריד, מנהל מודיעין איומים אסטרטגי בחברת ענן הסייבר הישראלית Wiz, מציע גישה הגנתית נוספת שמכונה "Age-gating" (הגבלת גיל העדכון).

"מערכות שמבצעות עדכונים אוטומטיים הורידו את הקוד המורעל שניות לאחר שהוא פורסם", מסביר ריד. "ההמלצה כיום היא לא לרוץ ולהתקין את הגרסה הכי טרייה שיצאה לשוק. יש להמתין 'תקופת צינון' של מספר ימים כדי לוודא שהקוד נקי, לעבור תהליך של אימות, ורק אז להפיץ אותו ברשת הארגונית. ברגע שהקוד המורעל נחת אצלכם על המחשב - זה כבר מאוחר מדי".