NPM Kayıt Defterini Hedef Alan Sha1-Hulud Saldırı Dalgası
Güvenlik uzmanları, npm kayıt defterine yönelik ikinci bir saldırı dalgasının başladığını bildiriyor. Bu yeni tedarik zinciri saldırısı, Sha1-Hulud adıyla anılmakta ve yüzlerce npm paketini tehlikeye atmaktadır. Güvenlik firmaları Aikido, HelixGuard, Koi Security, Socket ve Wiz, yapılan incelemelerde bu saldırının boyutlarını ve etkilerini ortaya koymuştur.
Şifreleri Hedef Alan Tehditler
Yeni saldırı, ön kurulum aşamasında kötü niyetli kod çalıştırarak potansiyel tehlikeyi artırmaktadır. Bu durum, geliştirici makinelerinin güvenlik zaafiyetlerini daha belirgin hale getirirken, şifrelerin çalınma riskini de katlamaktadır. Şai-Hulud saldırısının Eylül 2025’te keşfedilmesinden sonra gelen bu dalga, yine GitHub’a çalınan sırların yayımlanmasıyla dikkat çekiyor.
Kötü Amaçlı Kodun İşleyişi
Son saldırılarda, saldırganların package.json dosyasına eklediği setup_bun.js adındaki bir preinstall betiği, bilinmeyen bir şekilde kötü amaçlı bir bun_environment.js betiğini çalıştırmak için kullanılıyor. Bu kötü amaçlı yük, iki farklı iş akışını takip ederek çalışmaktadır:
- İnfiltre olmuş makine, “SHA1HULUD” adında kendine ait bir self-hosted runner olarak kaydedilir ve içerdiği .github/workflows/discussion.yaml dosyasında bir enjeksiyon açığı oluşturularak, saldırganın bu makine üzerinde rastgele komut çalıştırmasını sağlamak için GitHub tartışmalarını açmasına olanak tanır.
- GitHub’da tanımlanan sırları dışarı sızdırarak bir artefakt olarak yükler ve ardından silinmenin ardından eylemi gizlemek için iş akışını kaldırır.
Saldırının Boyutu ve Ciddiyeti
Wiz, saldırının 25,000’den fazla depoyu etkilediğini ve son birkaç saat içinde her 30 dakikada bir 1,000 yeni repository eklendiğini belirtmektedir. Bu kampanya, npm tedarik zinciri ihlallerinin Sha1-Hulud ismiyle anılmasına devam etmektedir, ancak farklı aktörlerin bu saldırılara dahil olabileceği düşünülmektedir.
Punitive Sabotaj: Veri İfadesi ve Yıkım
Koi Security, ikinci dalganın çok daha agresif olduğunu belirtmiştir. Aksi halde, saldırgan sistemde kalıcı olamazsa, kurbanın ev dizinini tamamen yok etmek için tasarlanan bir işlevsellikle karşılaşılmaktadır. Veri yok etme işlemi, sadece birkaç koşulun gerçekleşmesi halinde tetiklenmektedir:
- GitHub’a kimlik doğrulaması başarılı olamazsa,
- GitHub deposu oluşturamazsa,
- GitHub jetonu elde edemezse,
- NPM jetonu bulamazsa.
Bu, Sha1-Hulud’un şifre çalmaya yönelik eylemlerini, ceza niteliğinde sabotaja dönüştürdüğünü göstermektedir.
Tehditlere Karşı Alınacak Önlemler
Bu tehditle başa çıkmak için organizasyonların, etkilenen paketlerin varlığını kontrol etmeleri, tehlikeli sürümleri derhal kaldırmaları, tüm kimlik bilgilerini değiştirmeleri ve .github/workflows/ dizinini inceleyerek şüpheli dosyalar olup olmadığını kontrol etmeleri önerilmektedir.
(Bu gelişen bir hikayedir ve yeni detaylar ortaya çıktıkça güncellenecektir.)
