מפתחים נמצאים תחת מתקפה חסרת תקדים: איומי אבטחת מידע נחשפים
קמפיין מתוחכם לגניבת מידע
חברות אבטחת מידע, כולל חברה ישראלית, Koi Security, חשפו קמפיין מתוחכם שבו משתילים נוזקות גניבת מידע ברכיבי קוד שנראים תמימים. מציאת הנוזקות האלו הולידה תקוות לגבי זיהוי איומים סמויים בתוך סביבות הפיתוח המודרניות. הקמפיין מאפשר גישה לנתונים אישיים, סיסמאות Wi-Fi, ואף סשנים של גלישה מהמחשבים של מפתחים.
שיטת הפעולה של התוקפים
התוקפים פעלו בשיטות הסוואה מתוחכמות, ובמקום לשתול וירוסים גלויים, הם השתמשו בטכניקת "חטיפת DLL". תוספי VS Code שהיו מזיקים זיהו קבצים לגיטימיים של תוכנת start מסך בשם Lightshot והורידו קובץ קוד זדוני בעל שם זהה. כאשר תוכנת Lightshot הופעלה, היא הפעילה את המערכת הזדונית והחלה בגניבה של מידע אישי.
סוגי המידע שנגנב
- צילומי מסך ולוח גזירה: תיעוד ויזואלי של מה שהמפתח רואה.
- אישורי Wi-Fi: גניבת סיסמאות הרשת האלחוטית.
- חטיפת סשנים בדפדפנים: התוקפים הפעילו דפדפני כרום ו-Edge במצב נסתר כדי לגנוב מידע על גלישה פעילה.
מתקפה גלובלית על אבטחת קוד פתוח
בעיות האבטחה אינן מוגבלות ל-VS Code בלבד. התקפות נוספות גילו חבילות קוד זדוניות במערכות פיתוח פופולריות כמו Go ו-npm. דוגמאות לכך כוללות חבילות שהתחזו לספריות קוד פופולריות על ידי שימוש בשמות כמעט זהים (Typosquatting).
אתגרי אבטחת המידע בתעשיית הסייבר
הדפוס הזה, שבו תוקפים משקיעים משאבים בייצור קוד שקט ומסוּוֶה היטב, מציב אתגרים משמעותיים לתעשיית הסייבר. המתקפה פוגעת ב"שרשרת האספקה של התוכנה" ומסכנת את המידע הארגוני כולו.
המלצות למפתחים
מפתחים מתבקשים להקפיד על אימות דו-שלבי חזק לכל חשבונותיהם, לבדוק את המוניטין של המוציאים לאור של תוספים, לנקוט במשנה זהירות כאשר מתקינים תוספים חדשים, ולעמוד במשמרת מול איומי אבטחה פוטנציאליים.
הצטרפו לערוץ הטלגרם שלנו לקבלת עדכונים שוטפים וחדשות מעולם הטכנולוגיה ישירות לטלפון שלכם!