اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
RedX Cyber Security
رفتن به کانال در Telegram
695
مشترکین
+124 ساعت
+27 روز
+1830 روز
در حال بارگیری داده...
جذب مشترکین
ژوئن '26
ژوئن '26
+3
در 0 کانالها
مه '26
+32
در 2 کانالها
Get PRO
آوریل '26
+112
در 3 کانالها
Get PRO
مارس '26
+14
در 0 کانالها
Get PRO
فوریه '26
+24
در 2 کانالها
Get PRO
ژانویه '26
+17
در 0 کانالها
Get PRO
دسامبر '25
+29
در 2 کانالها
Get PRO
نوامبر '25
+21
در 0 کانالها
Get PRO
اکتبر '25
+27
در 1 کانالها
Get PRO
سپتامبر '25
+18
در 2 کانالها
Get PRO
اوت '25
+52
در 2 کانالها
Get PRO
ژوئیه '25
+14
در 0 کانالها
Get PRO
ژوئن '25
+21
در 0 کانالها
Get PRO
مه '25
+64
در 2 کانالها
Get PRO
آوریل '25
+37
در 2 کانالها
Get PRO
مارس '25
+144
در 1 کانالها
Get PRO
فوریه '250
در 1 کانالها
Get PRO
ژانویه '250
در 2 کانالها
Get PRO
دسامبر '24
+182
در 1 کانالها
| تاریخ | رشد مشترکین | اشارات | کانالها | |
| 11 ژوئن | 0 | |||
| 10 ژوئن | +1 | |||
| 09 ژوئن | 0 | |||
| 08 ژوئن | +2 | |||
| 07 ژوئن | 0 | |||
| 06 ژوئن | 0 | |||
| 05 ژوئن | 0 | |||
| 04 ژوئن | 0 | |||
| 03 ژوئن | 0 | |||
| 02 ژوئن | 0 | |||
| 01 ژوئن | 0 |
پستهای کانال
האקרים החלו להשתמש בתיאורים של נשק גרעיני ונשק ביולוגי בקוד של תוכנות זדוניות. זה מעקף את ההגנה של סורקי בינה מלאכותית.
רשתות הנוירונים מזהות טקסט 'מסוכן' ומיד מסרבות לעבוד איתו, אבל אחריו מתחיל הקוד הזדוני. להונאים נהיה הרבה יותר קל לבצע הזרקות פקודות ולגנוב מפתחות גישה ונתונים רגישים אחרים.
סביר יותר שבינה מלאכותית תדליף את הנתונים מאשר תציית לקוד האתי שלה.
#AIProtectionBypass #מעקףהגנתבינההמלאכותית
RedX Cyber Security
| 2 | 😈 שוקלת רק 23 קילובייט ועוקפת EDR – איך בנוי פריימוורק הסמוי החדש FalkonC2
אנליסטים בחברת Flare גילו ולמדו את FalkonC2 – מסגרת מסחרית לניהול מרחוק של מכשירים שנדבקו
❗️ המודול המרכזי של המסגרת, Rotemelli2, שוקל בין 23 ל-35 קילובייט, לא כותב דבר בדיסק ועוקף במכוון מערכות הגנה ארגוניות מדור EDR ו-XDR – תוכנות שמנטרות פעילות חשודה על מחשבי קצה
בהדגמה אחת הראו כיצד כלי לגיטימי לניהול מרחוק, ConnectWise ScreenConnect, משנה את שמו, רץ בסתר, טוען מודול זדוני לזיכרון ומרומם הרשאות למנהל מערכת ב-Windows
אין זכר בדיסק – רק פעילות כמעט בלתי מורגשת בזיכרון
#FalkonC2 #מסגרתסמויה
RedX Cyber Security | 117 |
| 3 | האינטרנט פתאום גילה ש–Let’s Encrypt (70% מכל תעודות ה-SSL ברשת, ובעיקר החינמיות) שב-4 ביוני עדכן את תנאיו והוסיף סעיף שאומר “כעת יחסום כל מדינה הנתונה בסנקציות ולא יעניק לה תעודה”.
הכל נובע מסעיף חדש שלפיו מי שמקבל תעודה לא יכול להיות בשטח הנתון ל”סנקציות האמריקאיות הכוללות”, וממנו הסיקו שתעודות איראן, רוסיה וסין תיפסלנה אוטומטית ותעודות חדשות לא יונפקו.
בהודעה ב-Hacker News הבהיר מנכ״ל Let’s Encrypt, ג׳וש אאס, שהוא הסביר ששום דבר לא ישתנה, והסעיף הזה הוסף רק לצורך ציות משפטי – והניסוחים יתחדדו בהמשך, כי בחוקי פיקוח הייצוא הכול מורכב. לפי אאס, החברה כבר מצייתת לדרישות OFAC (בודקת רשימות סנקציות לפני הנפקת תעודות), והשינוי לא ישפיע על פרטים או חברות שאינם ברשימות – גם מרוסיה או מבלארוס. ואין בכוונתם לחסום באופן נרחב אזורי דומיין.
#LetsEncryptUpdate #עדכוןLetsEncrypt
RedX Cyber Security | 122 |
| 4 | הפנטגון העלה את רמת האיום של הריגול הישראלי נגד ארה״ב לרמה הגבוהה ביותר
העיתון NBC מדווח על החלטת אגף המודיעין של משרד ההגנה האמריקאי להעלות את רמת האיום מודיעיני נגדי מצד ישראל לרמה הקריטית, לנוכח חששות מהאופי האגרסיבי יותר של הריגול הישראלי.
החלטה זו נובעת מחששות הפנטגון ממאמציה המיוחדים של ישראל למעקב אחר בכירים אמריקאים. מטרת העל היא ליירט מידע חסוי על הדיונים הפנימיים בממשלו של הנשיא דונלד טראמפ בסוגיית הסכסוך במזרח התיכון עם איראן.
אנליסטים אמריקאים מעריכים שהיכולות של ישראל בריגול אנושי ובאיסוף טכני הן ברמה הקריטית. גורמים רשמיים אמריקאים מציינים ניסיונות של ישראל לעקוב אחר בכירים בממשל כדי לאסוף מידע על הדיונים הפנימיים.
אמילי הארדינג, מנהלת התוכנית המתמחה במרכז למחקר אסטרטגי ובינלאומי (CSIS), מציינת שלישראל יש שירות מודיעין היפראגרסיבי, בעוד שהמדינה עצמה צברה במשך שנים מוניטין בריגול אגרסיבי, גם נגד ארצות הברית.
גורמים רשמיים וכמה בכירים לשעבר ממליצים לנקוט זהירות מרבית בשיחות בחדרי מלון במהלך נסיעות רשמיות.
בכירים אמריקאים נוקטים לעתים אמצעי זהירות נוספים בעת ביקורים בישראל, ולעיתים משתמשים בטלפונים או במחשבים חד־פעמיים.
נציג שגרירות ישראל בוושינגטון כינה את הדיווחים על ריגול נגד ארה״ב "שקר מוחלט" ודחה את הטענות לאיסוף מודיעין על ארגונים או בכירים אמריקאים.
#PentagonSpyThreat #איום_ריגול_ישראלי
RedX Cyber Security | 1 |
| 5 | بدون متن... | 144 |
| 6 | 👮 איך בנו של קבלן IT אמריקאי הואשם בגניבה של יותר מ-46 מיליון דולר (כ-140 מיליון ש״ח) מסוכנות המרשלים האמריקאית
הסיפור של צעיר אמריקאי בן 20 בשם ג'ון דג'יטה, הידוע בכינוי Lick, החל בוויכוח טיפוסי באחד מצ'אטים קבוצתיים ב-Telegram, שבו המשתתפים התגאו בחסכונותיהם בארנקים דיגיטליים כדי להוכיח עליונות. ג'ון רצה להתבלט ופרסם הוכחות שהוא שולט בנכסים דיגיטליים בשווי $23 מיליון (כ-83 מיליון ש״ח). ראוותנות זו תפסה את תשומת לב חוקרי קריפטו…
דין דג'יטה, נשיא חברת Command Services & Support, הוא אביו של ג'ון. החברה פעלה בווירג'יניה ומספקת שירותי IT ותחזוקה טכנית למגוון משרדי ממשלה בארה"ב 🇺🇸 , כולל משרד המשפטים ו-משרד ההגנה. בין 2024 ל-2026 קיבלה החברה מזמני סוכנות המרשלים האמריקאית בשווי כולל של $7.8 מיליון (כ-28 מיליון ש״ח). על פי ההסכמים היא הייתה אמורה לסייע לממשל בניהול מוצאים דיגיטליים שהוחרמו ולשמור עליהם, רבים מהם נלקחו כחלק מחקירת הפריצה הגדולה לבורסת Bitfinex ב-2016.
הכספים עברו לבנו דרך החברה של האב: ג'ון צויין רשמית כעובד שם, וקיבל גישה חוקית לתשתיות הממשלתיות ולארנקים הקריפטוגרפיים המופקדים בידי הסוכנות. מנצל את הסמכות, העביר בסתר את הנכסים המוחרמים לארנקים פרטיים שלו – בסה״כ גנב יותר מ-$46 מיליון (כ-140 מיליון ש״ח).
תנועות חריגות של נכסים משכו את תשומת לבו של חוקר בלוקצ'יין ידוע בשם ZachXBT. הוא ניתח את שרשרת העסקאות וגילה ארנק ששמר כ-12,540 יחידות Ethereum, ששוויין אז עמד על מעל $36 מיליון (כ-108 מיליון ש״ח). קשר בין הארנק לבין זהות ג'ון דג'יטה הועבר לגורמי אכיפת החוק בארה"ב, והשירות המרשלים פתחה בחקירה ממושכת.
בסוף פברואר 2026 עזב ג'ון את ארצות הברית ובחר לבלות בוילה יוקרתית בסנט מרטין שבאי הקריבי. החיים היפים האריכו ימים ספורים: כבר ב-4 במרץ 2026 הג'נדרמריה הצרפתית המקומית בשיתוף יחידת GIGN וה-FBI ערכה מבצע מעצרים.
המנהל ה-FBI קאש פאטל דיווח בשעתו על הצלחת המבצע ופרסם תמונות של הנעצר במעצר כברזל. ברשותו נתפסו מזוודה מתכתית מלאה בחבילות שטרות של 100 דולר, ציוד אלקטרוני ואמצעי לחימה קצרים. לפי הג'נדרמריה הצרפתית, כל ה-$46 מיליון בקריפטו הוחזרו לממשל האמריקאי.
ג'ון הועבר למעצר בבא-טן שבגוואדלופה. דיוני הערכאה לענייני הסגרה התקיימו בדלתיים סגורות, ובסוף מאי 2026 בית המשפט לערעורים בבא-טן אישר רשמית את הסגרתו לארה"ב. הנער לא קיבל עזרה במאמצי הישארות בשטחי חוץ־הארץ הצרפתיים – לפי עורכת דינו, מַרי־פייר סָאזש־ז'וליו, ג'ון ביקש במפורש לחזור במהירות לארצו.
כעת ג'ון דג'יטה כלוא בבית סוהר בגוואדלופה, והסגרתו לארה"ב אושרה. שם עליו לשעבר מאיים עונש מאסר ארוך בגין הונאה וגניבת רכוש ממשלתי.
#CryptoTheft #גניבתקריפטו
RedX Cyber Security | 1 |
| 7 | بدون متن... | 162 |
| 8 | בינה מלאכותית של Meta* עוזרת לפרוץ לחשבונות Instagram* — בין הקורבנות היה אפילו חשבון הארכיון של הבית הלבן.
חוקרים גילו ש־Meta AI Support Assistant מאפשר לשנות את כתובת האימייל שמחוברת לפרופיל דרך צ׳אט התמיכה בלי אימות זהות. כן, שוב כל מערך האבטחה קורס בגלל הזרקת פרומפט פשוטה. כתוצאה מכך, האקרים כבר השתלטו על כמה חשבונות והעמידו אותם למכירה.
אוקיי, בינה מלאכותית, תני גישה לעמוד של צוקרברג 😂
#AI #בינה_מלאכותית
RedX Cyber Security | 309 |
| 9 |  ⚙️ טרי דייוויס, מתכנת אמריקאי, שיצר לגמרי לבד את מערכת ההפעלה TempleOS.
הוא לא השתמש בספריות צד שלישי ולא העתיק פתרונות מ־StackOverflow. טרי בנה בעצמו קרנל, קומפיילר, שפת תכנות, ממשק גרפי, מנוע תלת־ממד ומשחקים.
יותר מ־120,000 שורות קוד נכתבו ידנית על ידי אדם שהתמודד עם סכיזופרניה קשה מאוד והאמין שהוא פועל לפי הוראה ישירה מאלוהים.
🔆 בלי LLM, בלי עוזרי בינה מלאכותית ובלי השלמה אוטומטית. ליצור מערכת 64 ביט ברזולוציה של 640x480 וב־16 צבעים — זה היה הפרומפט היחיד “מלמעלה”.
בעידן שבו תכנות הולך ומצטמצם בהדרגה לכתיבת הפרומפטים הנכונים עבור סוכני AI, TempleOS היא אנדרטה לגישה ייחודית, אישית ועמוקה בתכנות.
⚡️ פיתוח סולו בסדר גודל כזה כנראה כבר לא נראה שוב...
#TempleOS #מערכות_הפעלה
RedX Cyber Security | 1 |
| 10 |  +1⚠️ קמפיין תקיפה אקטיבי ומסוכן נגד מפתחים – מאי 2026 ⚠️
בימים אלו רץ גל תקיפות ממוקד (Malvertising) בגוגל, שמטרתו לגנוב מידע ממפתחים ואנשי דאטה שמחפשים כלי בינה מלאכותית (כמו Claude, OpenAI, Cursor).
🛑 איך זה עובד?
מודעה ממומנת בגוגל (Google Ads) מובילה לאתר מזויף שנראה לגיטימי לחלוטין.
המשתמש מונחה להוריד קובץ שמריץ פקודת PowerShell שקטה במערכת.
הנוזקה (ACR Stealer / Amatera) עוקפת את האנטי-וירוס ומזריקה קוד זדוני ישירות לזיכרון ה-RAM (ללא קבצי הרצה על הדיסק).
💸 מה נגנב בתוך פחות מ-60 שניות?
❌קובצי פיתוח: קובצי .env וטוקנים של API (כמו מפתחות של Gemini, בוטים של טלגרם, גישה ל-GitHub).
❌דפדפנים: סיסמאות שמורות וקובצי Cookies (המאפשרים לעקוף אימות דו-שלבי 2FA).
❌טלגרם דסקטופ: העתקה מלאה של תיקיית tdata המאפשרת לשכפל את החשבון שלכם באופן מיידי.
שתפו בקבוצות פיתוח – המודעות האלו באוויר ומטעות מפתחים גם ברגעים האלה!
RedX Cyber Security | 286 |
| 11 | אתרים יכולים לרגל אחרי ה־SSD שלכם — חוקרים גילו שיטה חדשה בשם FROST.
אתר זדוני יכול להשתמש ב־JavaScript ובפיצ׳ר לגיטימי בדפדפן בשם OPFS — מערכת קבצים פרטית לאתרים — כדי למדוד זמני גישה ל־SSD. לפי המדידות האלה, האתר יכול להסיק אילו אתרים אחרים פתוחים אצלכם ואפילו אילו אפליקציות רצות במחשב.
בבדיקות החוקרים, השיטה הצליחה לזהות אתרים עם דיוק של כ־89% ואפליקציות עם דיוק של כ־96% על מחשב הבדיקה. החלק המדאיג: לא נדרשת הרשאה מיוחדת מהמשתמש — מספיק להיכנס לאתר שמריץ את הקוד.
עם זאת, לא מדובר כרגע במתקפה “קסומה” שרצה בקלות בכל מצב. היא דורשת יצירת קובץ גדול מאוד בדפדפן כדי לעקוף Cache, עובדת רק כשהפעילות והדפדפן משתמשים באותו SSD, ועלולה להיות מורגשת בגלל שימוש משמעותי באחסון. נכון לעכשיו, אין אינדיקציה שהמתקפה נוצלה בפועל בטבע.
#Cybersecurity #אבטחת_סייבר
RedX Cyber Security | 255 |
| 12 | כך תוכלו ליצור כתובות אימייל חד־פעמיות בלחיצה אחת: התוסף Burner Emails ל־Chrome מאפשר להנפיק כתובות אימייל זמניות במהירות, בנוחות ובאופן שמסייע לשמור על פרטיות המשתמש.
🔅 בעת הרשמה לשירותים שונים, ניתן להשתמש בכתובת אימייל שנוצרת אוטומטית, כאשר כל ההודעות המתקבלות מועברות ישירות לתיבת הדואר האישית שלכם.
🔅 השירות פועל כ־email proxy, כך שכתובת האימייל האמיתית נשארת מוסתרת, ומפחיתה את הסיכון למעקב, דליפות מידע וספאם.
🔅 כאשר הכתובת הזמנית כבר אינה נחוצה, ניתן להשבית אותה בכל רגע — ובכך לעצור הודעות לא רצויות ולשמור על תיבת דואר נקייה ומאובטחת יותר.
להורדה ולשימוש — כאן.
#Email #אבטחת_מידע
RedX Cyber Security | 2 |
| 13 |  פלטפורמת UK Visa Portal חשפה ברשת אלפי דרכונים וסלפי של מבקשי ויזה
שירות צד שלישי בשם UK Visa Portal, שאינו קשור לרשויות הבריטיות הרשמיות, גרם לדליפת מידע רגיש של מבקשי ויזה
• באחסון הענן הציבורי של Amazon S3 התגלו סריקות דרכונים וסלפי של משתמשים שהועלו במסגרת הגשת המסמכים
• לפי הערכות, יותר מ-100,000 קבצים הושפעו מהדליפה
• מקור אנונימי דיווח על באג בשרת האחורי של הפורטל שאיפשר לצפות ברשימת כל המסמכים שהועלו
• הבעיה נבעה מתצורה שגויה של אחסון הענן: אף שהתוכן לא הונפק באינדקס ציבורי, אפשר היה לגשת לקבצים באמצעות קישורים ישירים .
#Security #אבטחה
RedX Cyber Security | 287 |
| 14 | מצחיק: שוטרים תאילנדים התחפשו לרקדניות כדי לעצור פושע.
במהלך פסטיבל מקומי המשטרה החליטה לא לבלוט במדים ולקחה צ’אנס – מספר קצינים לבשו שמלות מנצנצות והיטמעו בהמון.
החשוד נעצר על חם – עמו נמצאו כמויות אדירות של חומרים אסורים וטלפון המקושר להימורים מקוונים לא חוקיים.
🐠
#UndercoverCops #שוטריםבהסוואה
RedX Cyber Security | 227 |
| 15 | סוכנות פדרלית בארה"ב הגישה כתבי אישום רשמיים נגד מהנדס Google בגין סחר במידע פנימי בפלטפורמת התחזיות המבוזרת Polymarket. לפי התביעה, מיקלה ספאנולו (36, אזרח איטליה) מואשם בהונאה במוצרים, בהונאה באמצעות אמצעי תקשורת אלקטרוניים ובהלבנת הון.
לפי החשד, ספאנולו ניצל את מעמדו ואת הגישה שלו למערכות הפנימיות של Google כדי לגשת למידע מסחרי חסוי. תחת השם AlphaRaccoon ביצע הימורים מדויקים על דירוגי הפופולריות של שאילתות החיפוש בגוגל לשנת 2025. ערב פרסום הסטטיסטיקה הרשמיים בסוף 2025, הוא השקיע בסך של כ-2.7 מיליון דולר והרוויח מעל 1.2 מיליון דולר רווח נקי. בין היתר הוא הימר על מוזיקאי האינדי-פופ D4vd ועל הראפר Kendrick Lamar, וכן נגד Bianca Censori ו-Donald Trump.
ספאנולו נעצר בניו יורק ב-27 במאי 2026 והובא בפני בית משפט פדרלי, ששחרר אותו בערבות של 2.25 מיליון דולר.
נציגי Google מסרו שהם משתפים פעולה במלואם עם החקירה וכי העובד הושעה מתפקידו. גם פלטפורמת Polymarket מציינת כי היא מסייעת לתביעה בחקירה.
#InsiderTrading #סחר_במידע_פנימי
RedX Cyber Security | 231 |
| 16 |  🚔🚔🚔 בהולנד נעצרו שני גברים בגין סיוע להתקפות סייבר פרו-רוסיות והפרת סנקציות של האיחוד האירופי. על פי החשד, בעלי חברות אירוח אתרים – יוסף זינאד (57) ואנדריי נסת'רנקו (39) – סיפקו תשתית להתקפות נגד מטרות אירופאיות, כולל הבחירות המקומיות בדנמרק.
❌ הרשויות טוענות שהחשודים העמידו בעקיפין משאבים לישויות ברוסיה ובבלארוס שהוטלו עליהן סנקציות.
❌ בחיפושים במשרדים ובמרכזי הנתונים נתפסו 800 שרתים, מחשבים וטלפונים. החקירה התחילה בחברת Stark Industries, שהוקמה כשבועיים לפני פרוץ המלחמה בין רוסיה לאוקראינה. למרות שהאיחוד האירופי הטיל עליה סנקציות במאי 2025, פעילותה נמשכה תחת שמות אחרים.
#CyberSanctions #סנקציותסייבר
RedX Cyber Security | 243 |
| 17 |  Microsoft השיקה שני כלים קוד-פתוח בשם RAMPART ו-Clarity להגנה על תוכנה בכל שלבי פיתוח סוכני בינה מלאכותית. רם שאנקר סיבה קומאר, מנהל צוות התאימות בבינה מלאכותית במיקרוסופט, הדגיש את הצורך במעבר מהמחשבות הפילוסופיות לבסיס הנדסי מחמיר בתחום הזה.
🌟 RAMPART הוא כלי קוד-פתוח לבדיקות המאפשר למהנדסים לגלות חולשות במודלים של בינה מלאכותית כבר בשלב הפיתוח, לבדוק את עמידות המערכות בפני התקפות הזרקת פרומפטים ולהעריך את ההתנהגות ההסתברותית שלהן בתסריטי בדיקות אינטגרציה אוטומטיים.
2️⃣ Clarity, הכלי השני, גם הוא קוד-פתוח ופועל כיישום שולחני, ממשק ווב או רכיב עוזר קוד מבוסס בינה מלאכותית. הוא מאפשר למנהלי מוצר ומהנדסים בהתנעת הפרויקט לבדוק הנחות לוגיות, החלטות ארכיטקטוניות ותסריטי כישלון אפשריים במודלים – עוד לפני כתיבת שורת הקוד הראשונה.
#OpenSource #קודפתוח
RedX Cyber Security | 231 |
| 18 |  סוכני AI מבוססי קול נחטפו על-ידי צלילים "מוסתרים" בפודקאסטים, קבצי MP3 וקטעי YouTube
חוקרי אבטחה הדגימו סוג חדש של מתקפה המשתמש באותות שמע מוסתרים כדי לתמרן עוזרי קול לבצע פעולות לא מורשות, מבלי שהמשתמשים ישימו לב.
#AI #בינה_מלאכותית
RedX Cyber Security | 228 |
| 19 | על פי דיווח, OnlyFans נקלעה לדליפה המונית — ברשת הופיע הודעה על מכירת בסיס נתונים לכאורה של כ-340 מיליון משתמשי הפלטפורמה.
נטען שבתוך הבסיס שדלף יש:
- כתובות דוא״ל ומספרי טלפון
- שמות משתמש
- רשתות חברתיות מקושרות
- סטטיסטיקת מנויים
- ואפילו חלק ממידע תשלומים
אם יתברר שהמידע אמיתי, צפויה גל של דה-אנונימיזציה וגירושים 😬
#OnlyFansLeak #דליפה_מסיבית
RedX Cyber Security | 222 |
| 20 | פרטי התקיפה של TeamPCP ב-GitHub
כפי שדווח קודם, במסגרת מבצע הענק Mini Shai-Hulud שהפעילו האקרים מקבוצת TeamPCP, פרצו לאקוסיסטמת TanStack. התוקפים הזריקו קוד זדוני לעשרות חבילות npm שלה ולמאגר של Mistral AI. זה גרם לתגובת שרשרת שפגעה בפרויקטים חיצוניים ובשני עובדים של OpenAI.
לפי מידע חדש, האירוע גרם לדליפת חשבונות GitHub דרך שורת הפקודה GitHub CLI אצל אחד מהמפתחים של פרויקט Nx, שאחראי על פרסום התוסף הפופולרי Nx Console.
בעזרת החשבונות האלה, ב-18 במאי התוקפים הוסיפו בלילה commit נטוש ולא חתום בשם 558b09d7 למאגר הרשמי nrwl/nx, בהסוואה כאיום וואיפר. לאחר מכן פורסמה בספריית התוספים הרשמית של VS Code גרסה מושחתת של התוסף Nx Console 18.95.0. העדכון הזדוני היה זמין ב-Visual Studio Marketplace במשך כ־18 דקות וב-OpenVSX במשך כ־36 דקות. זמן זה ועדכון הרקע האוטומטי בעורכי הקוד (כולל VS Code ו-Cursor) הספיקו כדי לפגוע בכ־6,000 תחנות עבודה של מפתחים.
הרכיב הזדוני הופעל בשקט כשנפתחה כל סביבת עבודה. הוא הריץ את פקודת npx להוריד ברקע את החבילה nx-next מה-commit המוסתר בסביבת Bun. הסקריפט המעורפל index.js במשקל כ־498 ק״ב הכיל בדיקות הגנה לעקיפת סביבות מבודדות והשיק מחלקות קולקטור מקבילות לגניבת פרטי גישה. במערכות Linux הסקריפט סרק את הזיכרון הפעיל של תהליכים דרך התיקיה /proc/*/mem כדי לגלות סודות. במערכות macOS הוא יצר Python-backdoor בתיקיה של אמולטור Kitty, התקין את עצמו באמצעות Launch Agent ושאל את ממשק החיפוש של GitHub פעם בשעה.
אחד הנפגעים היה עובד GitHub, שמחשב העבודה שלו נחדר ושימש לשכפול לא מאושר ולגניבת כ-3,800 מאגרים פרטיים פנימיים של הארגון. המאגרים כללו קוד מקור וטיוטות פניות של לקוחות לשירות התמיכה.
האירוע נחשף לציבור ב־19 במאי 2026. הנהלת GitHub נתקה מיידית את המחשב שנפרץ והחלה החלפת סודות רחבת היקף כדי למזער סיכונים לסביבות חיצוניות, בעוד מפתחי Nx הסירו את הגרסה הזדונית מהשוק.
קבוצת TeamPCP לקחה אחריות על ההתקפה ופרסמה את המידע הגנוב בפלטפורמת Breached תמורת כ-150,000 ש״ח.
מקורות:
1. https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised
2. https://thehackernews.com/2026/05/github-internal-repositories-breached.html
3. https://www.aikido.dev/blog/vs-code-extension-github-breach
4. https://github.blog/security/investigating-unauthorized-access-to-githubs-internal-repositories/
#GitHubAttack #התקפת_GitHub
RedX Cyber Security | 0 |
