כתבה למנויים בלבד
חווה לכריית ביטקויין בסצ'ואן שבסין
חווה לכריית ביטקויין בסצ'ואן שבסין צילום: Paul Ratje / For The Washington

תקיפות אתרים כבר לא מספיקות לכורים הזדוניים

האקרים שמנסים לכרות מטבעות קריפטוגרפיים התחילו להדביק תוספים של וורדפרס ופלטפורמות פופולריות נוספות כדי לנצל את בעלי האתרים ומבקריהם

אנא הזינו את מספר הטלפון הנייד כדי לקרוא את הכתבה המלאה ללא תשלום
אנא הזינו קידומת ומספר טלפון נייד ברצף
כבר רשומים? התחברו
אנא הזינו את הקוד שקיבלתם ב-SMS
הזינו את הקוד שקיבלתם ב-SMS
לא קיבלתם SMS? לחצו לשליחת הקוד פעם נוספת

מתקפות לכריית קוד זדוני לכריית מטבעות קריפטוגרפיים הם השחור החדש של ההאקינג, ואחרי שתוקפים תקפו אתרים, הם עוברים לתקוף את הפלטפורמות שמשמשות לבנייתם. השיטה: הדבקה דרך תוספים לאתרים.

חבילות התוכנה האלו, כמו התוספים (Plugins או פלאגינים) של וורדפרס, נפוצות מאוד כמעט בכל מערכת קוד פתוח. בוורדפרס, שעליה מבוססים רוב האתרים בעולם וגם בישראל, התוספים מאפשרים להוסיף יכולות למערכת הבסיסית. אצלי  למשל יש תוספים שמאפשרים להירשם לרשימת תפוצה, לשפר את האבטחה ועוד שלל יישומים.

הכורים מסתתרים באתרי התוספים

תוספים כאלה זמינים בדרך כלל להורדה באתר מסודר שאמור להיות מפוקח, בדיוק כמו חנויות אפליקציות למובייל, אבל "אמור" היא מילת המפתח כאן. מפתחים רבים מניחים שהתוספים בטוחים והם מורידים אותם מהאתרים השונים. על זה נאמר לא מזמן "הו! תמימות קדושה!".

רק לאחרונה נחשף תוסף בשם Animated Weather Widget שהשתיל קוד שכרה מונרו (אפשר להבין יותר על מדובר פה). כלומר, כל בעל אתר שבתמימותו התקין את התוסף, גרם נזק למשתמשים שלו והסב רווח לבעלי התוסף ללא ידיעתו. התוסף הוסר מהמאגר.

פרצה יותר מעניינת התגלתה גם בשירות npm שמשמש מתכנתי node. חוקרת אבטחה עצמאית בשם אבה האוול חשפה כיצד מתכנתים מנצלים מודולים פופולריים כדי לשתול קוד בעייתי אצל מפתחים אחרים. כיוון ש-node משמשת בעיקר לשרתים חזקים, הרווח (והנזק לקורבן) הפוטנציאלי יכול להיות עצום.

מאחר שרוב העבודה על node נעשית משורת הפקודה (כלומר בהקלדה), התוקפים משתמשים בשיטת Typo-Sqautting, שיטה שכבר שנים פופולרית אצל האקרים רבים שיצרו אתרים המתחזים לאתרים מפורסמים. הם פשוט יוצרים מודול שהשם שלו כמעט זהה למודולים פופולריים מאוד, כך למשל commqnder במקום commander. אם מתכנת כלשהו מתקין את המודול אך שוגה בהקלדה, הוא מזריק לקוד שלו קוד כרייה זדוני.

המודול המזויף מכיל קוד כריה שמופעל בכל הפעלה לצד הקוד "האמיתי". כך המתכנת בעצם מזהם את המערכת שלו וגורם לכרייה מואצת והפעם על חשבונו ולאו דווקא על חשבון המשתמשים הרגילים.

איך מגלים השתלה של קוד כרייה באתר שלכם?

אם אתם בעלי אתרים מודאגים, הגילוי הוא קל למדי. פיתחו את מדד ה-CPU במחשב שלכם. בחלונות, הכנסו במצב 'אינקוגניטו' לאתר שלכם. מצב האינקוגניטו הוא חשוב כיוון שהוא מונע מתוספי פרטיות שונים שייתכן והתקנתם לעבוד, ואנחנו לא רוצים שהם יעבדו וימנעו מאיתנו לגלות את הסקריפט הזדוני. יש לכם קפיצה ב-CPU ברגע שנכנסים לאתר וירידה בקפיצה ברגע שיוצאים ממנו? בינגו. יש לכם קוד זדוני באתר.

איך מתגוננים?

אם יש לכם אתר גדול, כדאי לדרוש מהמתכנת שבונה את האתר בדיקת קוד סטטית תקופתית על הקוד. אם אתם מתכנתים, שימוש בכלי ניתוח קוד יסייע לכם באיתור בעיות כאלו. אם אתם מתכנתי node, יש כמעט חובה לוודא שההתקנות שלכם תקינות.

אם אתם משתמשים במודולים שיש להם תפוצה נמוכה, כדאי מאוד לברר גם אצלם. ניתן להשתמש בכלי ניתוח כדי לראות את כל ה-dependencies או לבצע ניטור במערכת המתריע על שימוש לא תקין ב-CPU.

רן בר-זיק הוא מפתח בחברת OATH וכותב אתר internet-israel.com