This post is also available in:
English (אנגלית)
מפתחי תוכנה מסתמכים יותר ויותר על מאגרי קוד פתוח כדי להאיץ פיתוח, לשלב יכולות חדשות ולבנות יישומים מבוססי ענן. האמון במאגרים הללו הוא מרכיב מרכזי באקוסיסטם התוכנה המודרני. כאשר האמון הזה נפגע, תוקפים עשויים לקבל גישה לא רק למחשבי המפתחים עצמם, אלא גם לחלקים נרחבים משרשרת אספקת התוכנה.
אירוע שנחשף לאחרונה ממחיש עד כמה התרחיש הזה עלול להיות מסוכן. חוקרי אבטחה גילו נוזקה לגניבת פרטי גישה שהוסתרה בעשרות חבילות תוכנה שאוחסנו במאגרים הקשורים למיקרוסופט, בהם Azure, Azure-Samples, Microsoft ו־MicrosoftDocs. המאגרים הפגועים היו מפוזרים במספר ארגוני GitHub, והוסרו במהלך מבצע הסרה אוטומטי שהשבית עשרות פרויקטים בתוך דקות ספורות.
מה שהפך את האירוע למדאיג במיוחד היה המראה הלגיטימי של החבילות. לדברי החוקרים, רכיבי התוכנה הפגועים נשאו חתימות קריפטוגרפיות תקינות, כך שבעיני מפתחים שהורידו והשתמשו בהם הם נראו אותנטיים ומהימנים לחלוטין.
הנוזקה, שכונתה Miasma, תוכננה במיוחד לפגוע בסביבות פיתוח. לאחר הפעלתה היא ניסתה לאסוף סיסמאות, אסימוני אימות, מפתחות API ופרטי גישה נוספים המאוחסנים במערכת הקורבן. על פי דיווח של Cyber News, מדובר בתולעת מחשב המסוגלת לשכפל את עצמה תוך כדי איסוף מידע רגיש, שעשוי לשמש בהמשך לגישה למאגרי קוד, שירותי ענן ותשתיות פיתוח.
לפי הדיווחים, המתקפה התמקדה במיוחד בסביבות המשתמשות בכלי פיתוח מבוססי בינה מלאכותית, שבהן נהוג לשמור מקומית אסימוני גישה ופרטי התחברות כדי לייעל את תהליכי העבודה. באמצעות פגיעה במערכות אלו, יכלו התוקפים להשיג גישה לפרויקטי תוכנה, משאבי ענן ותהליכי פריסה.
האירוע מהווה דוגמה נוספת למתקפות שרשרת אספקת תוכנה, שבהן התוקפים אינם תוקפים ישירות את הארגון, אלא חודרים לכלי הפיתוח ולחבילות שעליהן הוא מסתמך. במקום לנצל חולשות במוצר המוגמר, הם פוגעים במשאבים שבהם משתמשים המפתחים כדי ליצור את המוצר.
מנקודת מבט של סייבר וביטחון מידע, מתקפות מסוג זה מסוכנות במיוחד משום שהן עשויות לפתוח גישה למספר רב של מטרות במקביל. פרטי גישה שנגנבים ממפתחים יכולים לשמש לגניבת קוד מקור, הפצת כופרות, חדירה לתשתיות, ריגול תעשייתי או הפצת נוזקות נוספות.
החוקרים קשרו את הקמפיין לקבוצת תקיפה המוכרת במספר כינויים, בהם TeamPCP. הקבוצה נקשרה בעבר למתקפות נגד אקוסיסטמים של תוכנה וכלי פיתוח מהימנים.
האירוע מדגיש אתגר רחב יותר העומד בפני תעשיית התוכנה: חתימות דיגיטליות ומאגרים מהימנים עדיין מהווים מנגנוני אבטחה חיוניים, אך הם אינם תמיד מספקים הגנה מלאה כאשר קוד זדוני מצליח לחדור לערוץ הפצה הנחשב לאמין.
