פריצת הענק לשרשרת האספקה – מתרחבת

לפני ימים אחדים נחשפה הפריצה הגדולה ביותר לשרשרת האספקה של חבילות NPM אי פעם: תוקפים הזריקו נוזקה ל-18 חבילות פופולריות, שמדי שבוע מורידים אותן יותר מ-2.6 מיליארד פעמים.

כעת מתברר כי היקף הפריצה גדול עוד יותר: נוזקה מסוג תולעת, המשכפלת את עצמה, נחשפה כמי שפוגעת ביותר מ-180 חבילות של NPM, כדי לגנוב אישורים.

חבילות NPM הן בלוקים רב פעמיים של קוד ג'אווה סקריפט, שפורסמו ברישום Node Package Manager, ומפתחים יכולים להתקין ולהשתמש בהן בפרויקטים שלהם. החבילות מספקות פונקציונליות נפוצה, כגון עיצוב טקסט, חיבור למסדי נתונים או טיפול בקלט משתמש – מה שמאפשר למפתחים לא לכתוב כל היבט של פרויקט מההתחלה. לכן הן פופולריות מאוד. תוקפים השתלטו על חשבון התחזוקה שמאחורי הספריות, באמצעות שימוש בפרטי גישה דרך מייל תמיכה מזויף של NPM – שביקש עדכון אימות דו שלבי. לאחר קבלת הגישה, התוקפים הכניסו נוזקה לקובצי ה-index.js של החבילות.

לפי חברת אבטחת שרשרת האספקה Socket, "המטרה הסופית של המתקפה היא לחפש סודות במכונות מפתחים, באמצעות סורק האישורים של TruffleHog – ואז לשדר אותם לשרת חיצוני, הנמצא בשליטת התוקף. המתקפה מסוגלת לכוון למערכות מבוססות חלונות ולינוקס".

לפי חוקרי סייברארק, "המתקפה השפיעה על עשרות חבילות NPM, כולל החבילה הפופולרית tinycolor. הפונקציה NpmModule.updatePackage הופכת את הפרויקטים התלויים בחבילה ל'סוסים טרויאניים'. היא משנה את קובץ ה- package.json, מזריקה payload מקומי (bundle.js), דוחסת מחדש את הארכיון ומפרסמת את החבילה הזדונית. ה-payload מתחיל לרוץ, ומחפש הרשאות, מפתחות ופרטי גישה לשירותי ענן באמצעות כלי הסריקה הלגיטימי TruffleHog. שיטה זו מאפשרת למתקפה להישאר חשאית ותחת הרדאר, כיוון שגם הכלי מאוחסן בצורה לגיטימית ב-GitHub, אתר אמין שמאחסן גם קוד מקור וגם קבצים בינאריים".

החוקרים הוסיפו, כי "שיטת תקיפה זו, שמנצלת כלים, אתרים ושירותים לגיטימיים, הופכת לנפוצה יותר ויותר במתקפות שרשרת אספקה, שמטרתן להרעיל סביבות פיתוח, או לגנוב גישות והרשאות לשימוש זדוני. מתקפה זו, שנחשפה השבוע, מצטרפת לאירוע שהתרחש ב-8 בספטמבר, כאשר חבילות בעלות מיליארדי הורדות שבועיות החלו להריץ קוד זדוני".

"המגמה של מתקפות שרשרת אספקה נמצאת בהאצה הן בתדירות והן בעוצמה", סיכמו חוקרי סייברארק, "2025 חוותה גל חסר תקדים של מתקפות מסוג זה על NPM וסביבות קוד פתוח. בסביבה של היום, כלים כמו cursor ו-base44 עלולים להכניס חבילות שלא נבדקו לסביבה שלך, ולכן חשוב להפריד בין סביבות בדיקה אלו לבין סביבות מוצר ופיתוח".

לפי StepSecurity, "המתקפה מדגימה התפתחות מדאיגה באיומי שרשרת האספקה, בהתחשב בכך שהנוזקה כוללת מנגנון התפשטות עצמית, המאפשר הדבקה אוטומטית של חבילות בהמשך".

אף קבוצת האקרים לא לקחה אחריות על הפגיעה בשרשרת האספקה. בנוסף, לא נמצאו קשרים לקבוצה מסוימת.

יצוין, שהמתקפות מגיעות לאחר שדיווח ביולי הזהיר כי לזרוס, קבוצת ההאקרים הידועה לשמצה, שפועלת בחסות צפון קוריאה, תקפה חבילות קוד פתוח, ובעיקר חבילות NPM.

השתתף בהכנת הידיעה: פלי הנמר.