פרשת TrapDoor: איום חדש על מפתחים ותשתיות DeFi

#1 · 26/05/2026, 16:47

ציטוט מ מערכת האתר ב 26/05/2026, 16:47

בחודש מאי האחרון, חברת Socket חשפה קמפיין זדוני בשם "TrapDoor" אשר פגע ביותר מ-34 חבילות ובכ-384 גרסאות שהתפשטו בפלטפורמות פופולריות כמו npm, PyPI ו-Crates.io. הקמפיין התמקד במפתחים ובזהויות המנהלות גישה למערכות מסביבם, וחשף את היקף הגניבה והסיכון שעלולים להיגרם לתשתיות.

TrapDoor הצליח לחדור למכונות של מפתחים יחידים וליצור נתיב גישה למאגרים, שרשראות CI/CD, וחשבונות ענן. כל זאת באמצעות חבילות זדוניות שנפרסו בתהליכי עבודה רגילים כמו postinstall hooks ב-npm או מטענים שמתבצעים בזמן ייבוא בחבילות PyPI. מדובר בשיטה מתוחכמת שמאפשרת להפעיל קוד זדוני ללא צורך בהתערבות ישירה מצד המפתחים.

המגמה המדאיגה הזו לא נעלמה מעיני תעשיית הקריפטו. הפסדי DeFi נמדדו בכ-680 מיליון דולר בשנת 2025, כאשר TrapDoor תרם להאצה של בדיקות אבטחה ותחזוקת סביבות פיתוח. חברות כמו SafeDep ו-StepSecurity תיעדו התקפות דומות, כאשר יותר מ-454,600 חבילות זדוניות דווחו רק בשנת 2025.

קמפיין TrapDoor מצביע על חולשה במנגנוני האבטחה הנוכחיים, כאשר התקפות זדוניות מצליחות לנצל תשתיות אמון ומערכות חוץ-שרשרת. דוגמאות לכך ניתן לראות באירועים כמו Resolv ו-Drift, שבהם נגנבו עשרות מיליוני דולרים כתוצאה מכשל תפעולי ולא כתוצאה מפגיעה בקוד עצמו.

הפתרון לבעיה זו טמון בהגברת המודעות ובשיפור הנהלים הקיימים. גילוי מהיר של חבילות זדוניות, כפי שנעשה על ידי Socket עם ממוצע גילוי תוך חמש דקות, יכול לצמצם את הנזק ולמנוע גניבה של קרדיטציות חשופות. אך מעבר לכך, יש צורך בשיפור היגיינת סביבות הפיתוח ובדיקות מעמיקות יותר של תלויות חבילות וסודות CI/CD.

בסופו של דבר, הקמפיין של TrapDoor הוא תזכורת לכך שהתקפות זדוניות יכולות להגיע מכל מקום ולפגוע בכל אחד. על המפתחים ומנהלי המערכות להיות תמיד על המשמר ולפעול לשיפור מתמיד של נהלי האבטחה. איך לדעתכם ניתן לשפר את ההגנה על תשתיות הקריפטו? האם יש פתרונות נוספים שיכולים לסייע במניעת התקפות מסוג זה?

בחודש מאי האחרון, חברת Socket חשפה קמפיין זדוני בשם "TrapDoor" אשר פגע ביותר מ-34 חבילות ובכ-384 גרסאות שהתפשטו בפלטפורמות פופולריות כמו npm, PyPI ו-Crates.io. הקמפיין התמקד במפתחים ובזהויות המנהלות גישה למערכות מסביבם, וחשף את היקף הגניבה והסיכון שעלולים להיגרם לתשתיות.

TrapDoor הצליח לחדור למכונות של מפתחים יחידים וליצור נתיב גישה למאגרים, שרשראות CI/CD, וחשבונות ענן. כל זאת באמצעות חבילות זדוניות שנפרסו בתהליכי עבודה רגילים כמו postinstall hooks ב-npm או מטענים שמתבצעים בזמן ייבוא בחבילות PyPI. מדובר בשיטה מתוחכמת שמאפשרת להפעיל קוד זדוני ללא צורך בהתערבות ישירה מצד המפתחים.

המגמה המדאיגה הזו לא נעלמה מעיני תעשיית הקריפטו. הפסדי DeFi נמדדו בכ-680 מיליון דולר בשנת 2025, כאשר TrapDoor תרם להאצה של בדיקות אבטחה ותחזוקת סביבות פיתוח. חברות כמו SafeDep ו-StepSecurity תיעדו התקפות דומות, כאשר יותר מ-454,600 חבילות זדוניות דווחו רק בשנת 2025.

קמפיין TrapDoor מצביע על חולשה במנגנוני האבטחה הנוכחיים, כאשר התקפות זדוניות מצליחות לנצל תשתיות אמון ומערכות חוץ-שרשרת. דוגמאות לכך ניתן לראות באירועים כמו Resolv ו-Drift, שבהם נגנבו עשרות מיליוני דולרים כתוצאה מכשל תפעולי ולא כתוצאה מפגיעה בקוד עצמו.

הפתרון לבעיה זו טמון בהגברת המודעות ובשיפור הנהלים הקיימים. גילוי מהיר של חבילות זדוניות, כפי שנעשה על ידי Socket עם ממוצע גילוי תוך חמש דקות, יכול לצמצם את הנזק ולמנוע גניבה של קרדיטציות חשופות. אך מעבר לכך, יש צורך בשיפור היגיינת סביבות הפיתוח ובדיקות מעמיקות יותר של תלויות חבילות וסודות CI/CD.

בסופו של דבר, הקמפיין של TrapDoor הוא תזכורת לכך שהתקפות זדוניות יכולות להגיע מכל מקום ולפגוע בכל אחד. על המפתחים ומנהלי המערכות להיות תמיד על המשמר ולפעול לשיפור מתמיד של נהלי האבטחה. איך לדעתכם ניתן לשפר את ההגנה על תשתיות הקריפטו? האם יש פתרונות נוספים שיכולים לסייע במניעת התקפות מסוג זה?