Shai-Hulud kötü amaçlı yazılımı 500’den fazla npm paketini ele geçirerek geliştirici sırlarını GitHub’a sızdıran geniş ölçekli tedarik zinciri saldırısını büyüttü
Zapier, ENS Domains, PostHog ve Postman gibi popüler projelerin trojanlanmış sürümlerinin npm’e yüklenmesiyle başlayan Shai-Hulud kampanyası kısa sürede binlerce pakete yayıldı. Zararlı yazılım, geliştirici ortamlarındaki GitHub, npm ve bulut sağlayıcılarına ait gizli anahtarları toplayıp GitHub’da otomatik oluşturulan deposunda paylaşıyor. Araştırmacılar 27 binden fazla kötü amaçlı depo tespit ederken, saldırının yüzlerce maintainer hesabını ele geçirerek hızla büyüdüğü belirtiliyor.
Shai-Hulud adlı kötü amaçlı yazılım, hafta sonu boyunca npm kayıtlarında hızla çoğalarak 500’e yakın popüler paketin trojanlanmış sürümlerini platforma yükledi. Saldırı, geliştiricilerin ve CI/CD ortamlarının gizli anahtarlarını hedef alıyor ve çalınan veriler GitHub’a kodlanmış biçimde aktarılıyor.
Binlerce Pakete Sıçrayan Tedarik Zinciri Saldırısı
Aikido Security araştırmacısı Charlie Eriksen, kampanyayı ilk fark ettiğinde 105 trojanlanmış paket olduğunu, ancak kısa sürede bu sayının 492’ye ulaştığını belirtti. Wiz ekibi daha sonra kampanyanın 27.000’i aşan kötü amaçlı paket ve 350’den fazla maintainer hesabını içerdiğini açıkladı. Wiz, “Son saatlerde her 30 dakikada 1.000 yeni depo ekleniyor.” değerlendirmesinde bulundu.
GitHub’da, sızdırılmış sırların yer aldığı 27.600’den fazla depo girişinin tespit edildiği bildirildi.
Yeni Yük İki Dosyadan Oluşuyor
CI/CD güvenlik firması Step Security’nin teknik analizine göre yeni Shai-Hulud varyantının yükü iki dosyada bulunuyor:
• setup_bun.js – Bun yükleyicisi gibi davranan bir dropper
• bun_environment.js – 10 MB’lık, ağır gizlenmiş kod içeren ana yük
Analizde, büyük bir hex kod dizisi, anti-analiz döngüsü ve zincirli gizleme fonksiyonları içeren karmaşık yapılar bulundu. Malware, beş aşamalı yürütme sırasında GitHub ve npm token’ları ile AWS, GCP ve Azure gibi bulut sağlayıcılarına ait sırları toplayıp dışarı aktarıyor.
Yıkıcı Son Adım: Ev Dizinini Silme
Koi Security, zararlı yazılımın belirli koşullar oluştuğunda kurbanın ev klasörünü tamamen sildiğini doğruladı. Silme işleminin, zararlının GitHub’a bağlanamaması, depo oluşturamaması veya token elde edememesi gibi dört koşuldan birinin gerçekleşmesi durumunda devreye girdiği belirtildi.
Sırların GitHub’da ‘Sha1-Hulud: The Second Coming’ Depolarına Gönderilmesi
Wiz’in aktardığına göre çalınan sırlar GitHub’da otomatik açılan, açıklamasında “Sha1-Hulud: The Second Coming” yazan depolara yükleniyor. Zararlı yazılım yükleme aşaması öncesinde çalışıyor ve şu dosyaları oluşturuyor:
• cloud.json
• contents.json
• environment.json
• truffleSecrets.json
Geliştiricilere ait bazı GitHub hesaplarının da tehdit aktörü tarafından ele geçirilerek depo oluşturmak için kullanıldığı doğrulandı.
Zapier, ENS Domains ve PostHog Paketleri Etkilendi
Aikido’nun analizinde Zapier, ENS Domains, PostHog ve AsyncAPI gibi projelere ait çeşitli paketlerin yeni Shai-Hulud sürümüyle trojanlandığı belirtildi. Özellikle Zapier geliştirici araçları ve ENS altyapı kütüphanelerinin etkilendiği duyuruldu.
npm, bazı paketlerde son sürüm için “yetkisiz yayın” uyarısı göstermeye başladı ancak trojanlanmış sürümlerin hâlâ indirilebilir olduğu bildirildi.
Geliştiricilere Acil Eylem Çağrısı
Araştırmacılar, geliştiricilere aşağıdaki adımları derhâl uygulamalarını öneriyor:
• Etkilenen paketleri tespit edip güvenli sürümlere dönmek
• GitHub, npm ve bulut sağlayıcılarına ait tüm token’ları döndürmek
• CI ortamlarında mümkünse npm postinstall script’lerini devre dışı bırakmak
• Bağımlılık güvenliği için otomatik taramaları genişletmek
GitHub zararlı depoları kaldırırken tehdit aktörünün aynı hızla yenilerini oluşturduğu belirtiliyor.
Ajans Expres Gazetesi
Tepkiniz Nedir?
