📚מודולModule 2 - שטח התקיפה
🎓שיעור4 מתוך 10
⏲משך~7 דקות
📈רמהבינוני
TAKEAWAY 1
Shai-Hulud - התולעת שהדביקה את npm
תולעת npm עצמאית שפגעה ב-796 חבילות ו-20M+ הורדות שבועיות
TAKEAWAY 2
Dependency Confusion - בלבול תלויות
תוקף מפרסם גרסה זדונית בשם חבילה פנימית שלכם
TAKEAWAY 3
postinstall - הרוצח השקט
סקריפטים שרצים בזמן התקנה עם הרשאות מלאות
TAKEAWAY 4
SBOM + 7 שיטות הגנה
מ Pin Versions עד Private Registry - כל מה שצריך להגן על ה-Supply Chain
1
מה היה הייחוד של תולעת Shai-Hulud?
תקפה ישירה על שרתי ענן
תולעת npm עצמאית שהתפשטה דרך Credentials גנובים
התקפת DDoS על npm Registry
פריצה לבסיס הנתונים של npm
2
מהו Dependency Confusion?
תלות מעגלית בין שתי חבילות
באג במנהל החבילות
תוקף מפרסם חבילה ציבורית בשם חבילה פנימית עם גרסה גבוהה יותר
התקפה שמערבבת את סדר התלויות
3
איזה נקודת כניסה שימשה את שלוש ההתקפות הגדולות של 2025?
preinstall
postinstall
prepublish
start
כלי לסריקת קוד סטטית
אינוונטר מלא של כל רכיבי התוכנה והתלויות
פרוטוקול לחתימה דיגיטלית
מערכת ניטור בזמן אמת
🚀 UP NEXT
שיעור 4: Prompt Injection - 42 טכניקות תקיפה
בשיעור הבא נתמודד עם ההתקפה שכולם מדברים עליה - 42 טכניקות Prompt Injection שכל מפתח AI חייב להכיר.
Direct Injection
Indirect Injection
Multi-turn Attacks
PALADIN Defense