מחקר: תקיפות שרשרת האספקה הפכו לווקטור חדירה משמעותי

תקיפות שרשרת האספקה של תוכנה – המתבצעות דרך רכיבי צד שלישי, מרקטפלייס וקוד פתוח – הפכו למנגנון חדירה משמעותי ולרכיב מרכזי בארגז הכלים של תוקפים מתוחכמים וקבוצות סייבר מתקדמות. זאת, תוך עקיפת כלי ההגנה הקיימים, גם מתקדמים ומתוחכמים, וזיהוי מוגבל של פעילות חשודה; כך לפי מחקר חדש של סיגניה (Sygnia) הישראלית.

לפי החוקרים, "עד קיץ 2025, פגיעה בשרשרת האספקה של תוכנה הפכה למציאות תפעולית, לא למגמה מתפתחת". אלא שכמה קמפיינים שנחשפו באחרונה, שאין ביניהם קשר, בהם שלושה גלי-תקיפה של Shai-Hulud, כמו גם GlassWorm, ופריצה למערכות הפנימיות של F5 – לא נשענו על חולשות מסוג 'יום אפס', אלא על ניצול האמון המובנה שמעניקים הארגונים והמפתחים למוצרים ולשרתי עדכון.

התוקפים השתמשו במנגנונים לגיטימיים לכאורה – כמו חבילות רשמיות ב-npm או תוספים לסביבות פיתוח – כדי לעקוף שכבות הגנה, להגיע ישירות למערכות פנימיות בארגון, להדביק מערכות קריטיות ולשבש את יכולת התגובה הארגונית.

"קמפיינים אלה משקפים גם שינוי טקטי", כתבו חוקרי סיגניה. "תוקפים מתוחכמים מתקדמים ב'מעלה הזרם' בשרשרת האספקה של התוכנה, כי כך הם מקבלים נתיב גישה ראשוני למערכות הקורבן, בין אם באמצעות מתקפה ממוקדת, או מתקפה מבוזרת בהיקף נרחב".

Omer Kidron, Enterprise Security Expert at Sygnia, breaks down how attackers are exploiting implicit trust to bypass defenses at scale, and outlines practical solutions that organizations should implement to be better prepared. Read the full analysis: https://t.co/KXalN4pr4x pic.twitter.com/Jw9IKvHA5r

— Sygnia (@sygnia_labs) January 27, 2026

"סוג הכשל שניתן למנף הכי גבוה ל'טובת' פריצה"

"אנחנו לא טוענים שמתקפות שרשרת האספקה הן השכיחות ביותר, וגם לא שהן באות במקום מתקפות כופרה, או פרצות בענן, שהמניע להן הוא כספי", כתבו החוקרים. "אבל כן משתקפת מגמה: מתקפות כופרה, מסעות ריגול ואירועי דליפת נתונים – הם לעיתים קרובות תוצאות המשך ולא נגרמו בשל הכשל הראשוני".

חוקרי סיגניה הסבירו כי "פגיעה בשרשרת האספקה היא סוג הכשל שניתן למנף אותו הכי גבוה ל'טובת' פריצה. זאת כי כאשר היא מתרחשת, היא עוקפת כמה שכבות הגנה בו-זמנית וגם מגבילה מאוד את יכולות התגובה וההתאוששות של היעד".

"ברבעון האחרון של 2025", ציינו, "הנתונים הצביעו שזה אינו אירוע בודד, אלא אותו מצב כשל שהופיע עצמאית בכמה סביבות מחשוב. אז, הפריצה התפשטה דרך מנגנונים לגיטימיים, מה שהפך את עלויות הגילוי והתגובה ליותר גבוהות".

"חיבור אותם אירועים", הסבירו, "ממחיש כיצד מערכות תוכנה מודרניות נכשלות תחת לחץ מתמשך של התוקפים. היה פה דפוס שאנו מכנים 'הכשל המאוחד': בכל הקמפיינים שנצפו, אותם כשלים מבניים הופיעו שוב ושוב".

"זהו איום קונקרטי, שמתממש בקצב ורמת תחכום גוברים"

לדברי עומר קדרון, מומחה אבטחה בסיגניה, "תקיפות שרשרת האספקה הן כבר לא איום מזדמן, או 'בעיה של כולם'. זהו איום קונקרטי, שמתממש בקצב ורמת תחכום גוברים. גורמי תקיפה מתקדמים מנצלים את הווקטור הזה, שקשה להתגונן מפניו, באופן כפול: כדי לייצר אחיזה רחבה ('ריסוס') על היקף ארגונים גדול וגם במסגרת תקיפות ממוקדות על יעדים".

לדבריו, "כמובן שלא ניתן למנוע כל שימוש בקוד פתוח, אבל ארגונים צריכים להקטין את רדיוס הפגיעה הפוטנציאלית ולשמר יכולת התאוששות".

"מדובר באתגר לא פשוט עבור מי שמעוניין בתהליכי פיתוח מהירים ואימוץ תשתיות IT מודרניות", סיכם קדרון. "מפתחי תוכנה, ספקי שירותים וארגוני אנטרפרייז נדרשים להביא לצמצום של 'חוב האמון' (Implicit Trust Debt). אמון לא מודע ברכיבים שונים, מוביל לאובדן שליטה במקרה של חדירה. בהחלט ניתן לשפר הן את החוסן מפני תקיפות שכאלו, והן את יכולת ההתאוששות מהן".