הסוס הטרויאני בתוך תיבת הכלים: מפתחים, האם אתם באמת מכירים את ההרחבות שלכם?
עבור קהילת המפתחים העולמית, ובתוכה גם מפתחי המשחקים ואנשי הטכנולוגיה בישראל, Visual Studio Code (או בקיצור VS Code) הוא הרבה יותר מסתם עורך קוד. הוא סביבת עבודה שלמה, בית שני שבו נכתבים מנועי המשחק הבאים, כלי ה-AI החדשניים ומערכות התשתית הגדולות ביותר בעולם. אך מה קורה כאשר הכלי האמין ביותר שלכם הופך לפרצת האבטחה הגדולה ביותר של החברה שלכם? פלטפורמת הניהול והקוד הפופולרית GitHub, שנמצאת בבעלות ענקית הטכנולוגיה Microsoft, מצאה את עצמה לאחרונה במרכזה של סערת סייבר דרמטית, שהחלה בדיוק בנקודה הרגישה הזו.
האירוע החל להתגלגל כאשר ב-GitHub זיהו גישה בלתי מורשית למאגרי המידע הפנימיים של החברה. על פי הדיווחים הראשוניים, התקיפה לא בוצעה באמצעות פריצה מורכבת לשרתים המרכזיים או ניצול באג בקוד המקור של הפלטפורמה, אלא באמצעות שיטה פשוטה ומתוחכמת בהרבה: "הרחבה מורעלת" שהותקנה על מחשבו האישי של אחד העובדים. מדובר באחד האיומים המדאיגים ביותר כיום בתעשיית התוכנה, שכן מפתחים נוטים להתקין הרחבות צד-שלישי כמעט ללא פיקוח כדי לשפר את הפרודוקטיביות שלהם.
במכתב רשמי שפורסם ברשת החברתית X (לשעבר טוויטר), אישרו נציגי GitHub את דבר הפריצה. "ההערכה הנוכחית שלנו היא שהפעילות כללה אך ורק הדלפה של מאגרי קוד פנימיים של החברה", נכתב בהצהרה הרשמית. עוד הוסיפו בחברה כי טענות התוקפים על גישה לכ-3,800 מאגרי קוד (Repositories) הן "תואמות באופן כללי את ממצאי החקירה שלנו עד כה". החדשות המעודדות עבור משתמשי הקצה הן, לפחות כרגע, שלא נראה כי מידע של לקוחות או משתמשים חיצוניים דלף החוצה כתוצאה מהאירוע.
מפתחי המשחקים על הכוונת: למה דווקא VS Code?
כדי להבין את גודל הסכנה, צריך להבין כיצד מפתחים עובדים כיום. תעשיית הגיימינג המודרנית מסתמכת על פיתוח מהיר, שילוב של ספריות קוד חיצוניות ושימוש אינטנסיבי בכלים לייעול העבודה. הרחבות ל-VS Code מאפשרות למפתחים לקבל השלמה אוטומטית של קוד, תמיכה בפורמטים שונים של גרפיקה, ואפילו אינטגרציה ישירה עם מנועי משחק כמו Unreal Engine או Unity. אך הפופולריות של ההרחבות הללו הופכת אותן למטרה מושלמת עבור האקרים שמחפשים דלת אחורית לחברות ענק.
ההאקרים לא צריכים להתאמץ ולפרוץ את מערכות ההגנה המשומנות של Microsoft או GitHub. כל מה שהם צריכים לעשות הוא להחדיר קוד זדוני לתוך הרחבה פופולרית ותמימה למראה, או לחילופין לרכוש הרחבה קיימת ממפתח עצמאי ולעדכן אותה בגרסה "מורעלת". ברגע שהמפתח באותה חברה מתקין את העדכון, ההאקרים מקבלים גישה מלאה לתחנת העבודה שלו, ומשם הדרך למאגרי הקוד הפנימיים של החברה קצרה מתמיד.
חברת GitHub סירבה לחשוף בשלב זה את שמה הספציפי של ההרחבה ששימשה כפרצה, כמו גם את זהות התוקף המדויקת, אך הבהירה כי ננקטו צעדים מיידיים לעצירת הדימום. "הסרנו את הגרסה הזדונית של ההרחבה, בודדנו את נקודת הקצה (תחנת העבודה של העובד) והחלנו מיד בנוהל תגובה לאירוע סייבר", מסרה החברה. בנוסף, כל אישורי הגישה הרגישים ביותר של החברה הוחלפו (Credential Rotation) כדי למנוע שימוש עתידי במידע שנגנב.
הכירו את TeamPCP: האקרים בדרך לפרישה
בעוד ש-GitHub מנסה למזער נזקים, בצד השני של המתרס יש מי שכבר חוגג את ההישג. קבוצת סייבר המכנה את עצמה TeamPCP לקחה אחריות על התקיפה בפורום הפשיעה הידוע לשמצה Breached. חברי הקבוצה טוענים כי הצליחו לשים את ידיהם לא רק על קוד המקור של פלטפורמת GitHub עצמה, אלא גם על מעל ל-4,000 מאגרי קוד פרטיים המכילים סודות מסחריים יקרי ערך.
בצעד מפתיע, התוקפים הבהירו כי אין להם עניין בסחיטה קלאסית של החברה. "כמו תמיד, לא מדובר פה בכופר; לא אכפת לנו לסחוט את GitHub", כתבו חברי הקבוצה בפוסט שפרסמו. "קונה אחד רציני – ואנחנו גורסים את המידע אצלנו. נראה שהפרישה שלנו קרובה מתמיד, אז אם לא יימצא קונה, אנחנו פשוט נדליף את הכל בחינם לרשת. אם אתם מעוניינים, שלחו הצעות מחיר. אנחנו לא מוכרים בפחות מ-50,000 דולר – ההצעה הטובה ביותר תנצח".
סכום של 50,000 דולר נחשב לנמוך יחסית עבור מידע בהיקף כזה, מה שמעלה שאלות רבות בקרב מומחי אבטחה לגבי האמינות המלאה של טענות ההאקרים או איכות המידע שברשותם. עם זאת, עצם העובדה שקוד מקור פנימי של פלטפורמה המשרתת מיליוני מפתחים ברחבי העולם מסתובב בשוק השחור, מעוררת דאגה עמוקה בקהילת הטכנולוגיה העולמית.
מגיפה שקטה: האם חנויות האפליקציות וההרחבות הפכו למערב הפרוע?
המקרה של GitHub הוא אולי המתוקשר ביותר לאחרונה, אך הוא בהחלט לא היחיד. מומחי אבטחת מידע מתריעים כבר תקופה ארוכה כי חנויות ההרחבות של הדפדפנים ועורכי הקוד הפכו לכר פורה לפעילות פלילית. רק בשנה שעברה חשפו חוקרי אבטחה כי למעלה מ-35 הרחבות פופולריות לדפדפן Google Chrome, עם יותר מ-4 מיליון התקנות מצטברות, הכילו רוגלות ותוכנות לגניבת מידע אישי. במקרה אחר, תוקפים הצליחו להשתיל דלתות אחוריות ב-31 תוספים שונים של מערכת ניהול התוכן WordPress.
הבעיה המרכזית היא הקלות שבה הרחבות הללו מתעדכנות באופן אוטומטי ברקע, ללא צורך באישור מחדש של המשתמש. מפתח עשוי להתקין הרחבה לגיטימית לחלוטין שתומכת בטכנולוגיות מתקדמות כמו שילוב של DLSS או Frame Generation במשחקים, אך חודשים לאחר מכן, אותה הרחבה יכולה להפוך לכלי ריגול הרסני מבלי שהמשתמש בכלל ירגיש בשינוי.
ב-GitHub הבטיחו לפרסם דוח אירוע מלא ומפורט (Incident Report) בזמן הקרוב, שישפוך אור על הכשלים הספציפיים שהובילו לפריצה ועל הלקחים שהופקו. עד אז, המסר לקהילת המפתחים, הגיימרים ואנשי החומרה בארץ ובעולם הוא חד וברור: היו זהירים במיוחד עם מה שאתם מתקינים על המחשב שלכם. פילטרים, בדיקות קוד תקופתיות והימנעות מהתקנת תוספים ממקורות לא מוכרים הם כבר לא המלצה – הם קו ההגנה הראשון שלכם מול מלחמת הסייבר הבאה.
התחבר כדי להגיב