מתקפה שהחלה ככל הנראה אתמול, זיהמה תוך שעות ספורות עשרות אלפי חבילות תוכנה שמפתחים עושים בהן שימוש תדיר (רכיבי תוכנה מוכנים שקונים "מהמדף", לעתים גם ללא עלות בקוד פתוח). המתקפה, שזכתה לשם "שייח ח'ולוד", על שם תולעת החול הגדולה מ-"חולית", עשויה לפגוע תוך ימים במערכות מידע של ארגונים וחברות גדולות כקטנות, ולהשבית שירותי מידע ואפליקציות פופולריות. אם לתאר את המתקפה במונחים פשוטים, הרי שמדובר בזיהום של מקורות המים שמהם "שותות" חברות רבות, או הרעלה של חיטה שממנה מייצרים לכולנו לחם.
רון פלד, מייסד שותף ו-COO חברת Sola Security ששוחח עם וואלה, מסביר: "זוהי מתקפה שהחלה לפני כמה שעות. תוקפים הצליחו לזהם חבילות קוד מדף (NPM), שכוונו לסביבות פיתוח כדי לגנוב מפתחות וסיסמאות ואסימונים ועזרו בהפצת קוד זדוני. הם יצרו מעין תולעת שמפיצה את עצמה ומתקדמת בקצב מסחרר - אלף מחסני קוד מתווספים מדי שעה", אומר פלד.
"התוקפים בעצם משתמשים במפתחות כדי לפגוע בחברות שמשתמשות בחבילות הקוד ובמפתחים. יש להערכתנו קוד של 500 חברות תוכנה משפיעות, כשאנחנו שש-שבע שעות לתוך האירוע. ב-GitHub יש כבר מעל 27,000 מודולים נגועים".
פלד מעריך כי המתקפה יוצאת הדופן עשויה להמשיך לשני כיוונים אפשריים: המשך ההתפשטות של הקוד הזדוני, או גניבת מידע. זירות תוכנה כמו GitHub מנסים להילחם בה ומוחקים חבילות קוד נגועות, אולם קצב ההתפשטות משיג את קצב המחיקה.
צוותי אבטחת מידע בארגונים גדולים החלו כבר אמש בבדיקות האם התוכנה שלהם נגועה - ולצורך העניין מספיק שמפתח אחד הדביק את הקוד הפנימי אם הוריד והשתמש בחבילה נגועה, ונוקטים בפעולות נוספות כדי להקשיח את המערכות. החשש הוא שמתקפת שייח ח'ולוד תשבש מערכות מידע רבות בימים הקרובים, מבנקים, דרך אפליקציות נפוצות, ועד חנויות סופרמרקט, ותשפיע על שירותים בדפדפנים ובמובייל כאחד.