יועץ אבטחת מידע   |   ינואר 14, 2026

הסוס הטרויאני החדש: כך ספריות "תמימות" הופכות לווקטור תקיפה קריטי

כיצד פגיעות בשרשרת האספקה מאפשרת לתוקפים לעקוף הגנות, וכיצד מבדק חדירה והדרכות מפתחים יסייעו לכם לסגור את הפרצה בזמן.

הכירו את הפגיעות הנפוצה החדשה: כשלי שרשרת אספקת תוכנה (Software Supply Chain Failures)

כיצד ספריות צד שלישי תמימות יכולות להפוך לווקטור תקיפה רחב היקף – ומה זה אומר על האפליקציות שלכם

במסגרת מבדקי אבטחת מידע שאנו מבצעים ללקוחותינו, אנו נתקלים לא פעם בפרצות שאינן נובעות מקוד שפותח בארגון עצמו – אלא מרכיבי תוכנה חיצוניים שהאפליקציה מסתמכת עליהם. עם פרסום רשימת המתמודדים ל־OWASP Top 10 לשנת 2025, קטגוריה זו קיבלה מקום מרכזי תחת A3 – Software Supply Chain Failures.
מה שגילינו בשנים האחרונות, ובייחוד באירועים אמיתיים מהשטח, ממחיש עד כמה סיכון זה הוא מוחשי – גם עבור ארגונים בוגרים ומודעים לאבטחה.

מהם כשלי שרשרת אספקת תוכנה

כיצד קוד שלא נכתב על ידכם משפיע ישירות על אבטחת המערכת

אפליקציות מודרניות נשענות באופן ברור על רכיבי צד שלישי: ספריות JavaScript, חבילות npm, רכיבי UI, שירותי CDN ועוד.
כשל שרשרת אספקת תוכנה מתרחש כאשר אחד מהרכיבים הללו נפגע – בין אם עקב הזרקת קוד זדוני, פגיעה בתהליך הפיתוח של הספק או השתלטות על גרסה מסוימת – והפגיעה מתפשטת לכל האפליקציות שמשתמשות בו.
בעולם של היום, רמת האבטחה של המערכת שלכם כבר אינה תלויה רק בקוד שאתם כתבתם – אלא גם בסטנדרטים, בתהליכים ובבקרות של כל גורם חיצוני שממנו אתם מושכים קוד.

ציפיות מול מציאות

למה ספריית UI או אנימציות עלולה להפוך לנקודת חדירה

ברוב המקרים, ספריות צד שלישי נתפסות כ”לא מסוכנות”: אנימציות, רכיבי עיצוב, עזרים חווייתיים.
אך בפועל, כל קוד שרץ בדפדפן של המשתמש – בייחוד כזה שמוטען מ־CDN חיצוני – מקבל גישה מלאה לנתונים קריטיים של האפליקציה: cookies, local storage או DOM אשר יכולים להכיל מידע רגיש.
כאשר ספרייה כזו נפגעת, התוקף אינו צריך לפרוץ לאפליקציית הארגון עצמה – הקוד הזדוני פשוט “מגיע אליו לבד”.

מקרה אמיתי: פגיעת שרשרת אספקה בספריית lottie-player

כיצד ספרייה פופולרית הפכה לכלי לגניבת קריפטו

בסוף אוקטובר 2024 דווח אירוע אבטחה חמור בספרייה הפופולרית ‎@lottiefiles/lottie-player המשמשת להצגת אנימציות באלפי אתרים ואפליקציות.
בשלוש הגרסאות האחרונות של הספרייה שהופצו זו אחר זו דרך npm ו־CDN ציבוריים, הוזרק קוד זדוני שגרם לאתרים להציג חלון קופץ המפציר במשתמשים לחבר את ארנקי הקריפטו שלהם.
משתמשים שאישרו את הבקשה או שכבר חיברו את ארנקם קודם לכן – איבדו שליטה על הארנק, והכספים נמשכו על ידי התוקפים.
כל זאת, בלי שהאתר עצמו נפרץ, ובלי שמפתחי האפליקציה שינו שורת קוד אחת.
איך זה קרה? זליגת טוקן של חשבון ה־npm של אחד מן היוצרים של הספרייה שאפשרה לגורמים הזדוניים לערוך את הקוד ולהפיץ גרסאות חדשות עם קוד זדוני.
האירוע פורסם פומבית, הגרסאות הזדוניות הוסרו, אך המשמעות הייתה ברורה:
שימוש בספרייה “אמינה” הפך לווקטור תקיפה ישיר כלפי משתמשי הקצה.

המשמעות עבור ארגונים ומפתחים

למה אף אפליקציה אינה חסינה

מקרה זה ממחיש עיקרון קריטי: גם רכיב שנראה זניח – אנימציה, UI, אפקט ויזואלי – יכול לשמש תוקפים לצורך גניבת מידע, השתלטות על משתמשים ופגיעה פיננסית חמורה.
ארגונים שאינם בודקים, מגבילים או מאמתים את הקוד שמגיע מצד שלישי, חשופים לפגיעות רוחביות שמשפיעות על כלל המשתמשים שלהם בבת אחת.

המלצות מאת מומחי אבטחת המידע של IPV Security

  1. נעילת גרסאות (Pinned Versions)
    הימנעו משימוש ב־latest או טעינה דינמית של ספריות. הגדירו גרסאות מדויקות ומבוקרות.
  2. שימוש ב־Subresource Integrity (SRI)
    בעת טעינת סקריפטים או CSS מ־CDN, הגדירו Hash קריפטוגרפי. שינוי בקובץ ימנע את טעינתו בדפדפן.
  3. בקרה על טעינת קוד חיצוני
    צמצמו למינימום שימוש בסקריפטים חיצוניים בדפדפן, בייחוד כאלה עם הרשאות רגישות.
  4. סקירת תלויות תקופתית
    בצעו Dependency Review באופן שוטף – לא רק לקוד שלכם, אלא לכל ספרייה ושירות חיצוני.
  5. מודעות Dev/QA
    שלבו את נושא שרשרת האספקה כחלק בלתי נפרד מתהליכי פיתוח, בדיקות ואישור גרסאות.

לסיכום,

OWASP Top 10 2025 שם את שרשרת האספקה בקדמת הבמה: A3 – Software Supply Chain Failures אינו איום תיאורטי. זהו וקטור תקיפה פעיל, מתוחכם ושקט – כזה שמדלג מעל חומות הארגון ופוגע ישירות במשתמשים. הדרך להתמודד איתו אינה רק בכתיבת קוד מאובטח – אלא בשליטה, בקרה ואימות של כל קוד שלא נכתב אצלכם. ארגונים שמבינים זאת מוקדם, מצמצמים משמעותית את שטח התקיפה שלהם ומונעים את האירוע הבא – עוד לפני שהוא מתרחש.
נושא זה מוסבר ומודגם בהרצאת הפיתוח המאובטח על OWASP שאנו מעבירים בארגונים, הרצאה המתקיימת לאחר מבדק חדירה אפליקטיבי. במסגרת ההרצאה מוצגות מסקנות המבדק בפועל, תוך חיבור ישיר לממצאים שהתגלו באפליקציה של הארגון עצמו, והצגתם למפתחים ולאנשי ה־QA בצורה פרקטית וברורה – במטרה לשפר תהליכי פיתוח, לצמצם סיכונים ולמנוע את אירוע האבטחה הבא.

 

מעוניינים לבצע מבדקי חדירה תשתיתיים ואפליקטיביים? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון
077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים
ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה