קמפיין תוכנה זדונית בשם Shai-Hulud מנצל את המערכות שמפתחים מסתמכים עליהן כדי לפרסם תוכנה בצורה מאובטחת. הקמפיין, הנקרא על שם תולעי החול הענקיות מספרו של פרנק הרברט 'חולית', מכוון לצינורות האוטומטיים שצוותי פיתוח רבים סומכים עליהם כדי לדחוף קוד לייצור ללא בדיקות ידניות.
כיצד ההתקפה פועלת
Shai-Hulud לא פורץ לרשת החברה דרך הדלת הראשית. במקום זאת, הוא מכוון למנגנונים האוטומטיים שאמורים להפוך את פרסום התוכנה לבטוח. מערכות אלה - כגון צינורות CI/CD, רישומי חבילות ומאגרי קונטיינרים - נועדו לזרז שחרורים על ידי הסרת התערבות אנושית. הקמפיין מערער את האמון הזה, ומחדיר קוד זדוני לערוצי הפצה מהימנים.
מכיוון שההתקפה רוכבת על אוטומציה, היא יכולה להתפשט במהירות ברגע שהיא חודרת לצינור. שרת build יחיד שנפרץ יכול לדחוף עדכונים מזוהמים לאלפי משתמשים במורד הזרם לפני שמישהו מבחין.
מדוע מפתחים הם מטרה רכה
מפתחים לעתים קרובות מתייחסים לכלי האוטומציה שלהם כאל קופסה שחורה. לאחר ההגדרה, הצינורות פועלים עם הרשאות גבוהות, מושכים קוד ממאגרים, מריצים בדיקות ומפרסמים ארטיפקטים. Shai-Hulud מנצל את חוסר הפיקוח הזה. הקמפיין לא צריך פרצת יום אפס - הוא רק צריך גישה למערכת שהצוות כבר אישר.
התקפות שרשרת אספקה הפכו לכאב ראש מתמשך עבור תעשיית התוכנה. קמפיינים קודמים פגעו במנהלי חבילות, בשרתי עדכונים ובשירותי חתימת קוד. Shai-Hulud הוא התזכורת האחרונה לכך שהתשתית שנסמכים עליה כדי לשמור על תוכנה בטוחה יכולה בעצמה להפוך לנשק.
מה עומד על כף המאזניים
כאשר תוכנה זדונית מדביקה ערוץ הפצת תוכנה, הקורבנות אינם רק המפתחים - הם המשתמשים הקצה שמתקינים את התוכנה שנפגעה. בנקים, בתי חולים, סוכנויות ממשלתיות ומיליוני צרכנים מסתמכים על כך שהעדכונים נקיים. פריצת שרשרת אספקה יכולה לתת לתוקפים דריסת רגל בתוך רשתות מאובטחות מבלי להפעיל אזעקות.
קמפיין Shai-Hulud עדיין פעיל לפי חוקרי אבטחה, אך היקף החדירה המדויק נותר לא ברור. עד כה לא נקשרו קורבנות או נתונים גנובים ספציפיים לפעולה.
האתגר שלפנינו
אבטחת צינורות תוכנה אוטומטיים היא בעיה מסובכת. היא דורשת חתימת קוד, בקרות גישה מחמירות יותר וביקורות שוטפות על הכלים עצמם. אך ארגונים רבים פועלים במהירות ומתייחסים לבדיקות אבטחה כצוואר בקבוק. Shai-Hulud מוכיח שלקיצורי דרך יש מחיר.
עד שמפתחים יתייחסו לתשתית האוטומציה שלהם באותה קפדנות שהם מיישמים על שרתי הייצור שלהם, קמפיינים כמו Shai-Hulud ימשיכו למצוא דרך להיכנס. השאלה אינה אם עוד יופיע, אלא כמה יישארו בלתי מורגשים עד שיהיה מאוחר מדי.
