Shai-Hulud 2.0 NPM Malware Saldırısı
Son zamanlarda, yazılım geliştirme dünyası, Shai-Hulud 2.0 adı verilen ciddi bir NPM (Node Package Manager) malware saldırısıyla sarsıldı. Bu saldırı, NPM kayıtlarında yüzlerce paketi etkileyerek yaklaşık 400.000 hassas verinin ifşasına neden oldu. Bu bilgiler, 30.000 GitHub deposunda yayınlanarak geniş bir kitleye ulaşmış durumda.
Saldırının Detayları
Saldırının ilk versiyonu Eylül ortalarında ortaya çıktı ve bu sefer 187 NPM paketi etkilendi. Zararlı yazılım, kendi başına yayılan bir payload ile hesap token’larını belirleyip, kötü amaçlı bir script ekleyerek bu paketleri platformda yayımlıyordu. İkinci saldırıda ise, etkilenen paket sayısı 800’ü geçti ve belirli koşullar sağlandığında kurbanın ana dizinini silen yıkıcı bir mekanizma barındırıyordu.
Expose Edilen Veriler
Wiz araştırmacıları, Shai-Hulud 2.0 saldırısı sonucunda yayımlanan gizli verileri incelediklerinde şunları buldular:
- %70 civarında depo, GitHub kullanıcı adları ve token’larını içeren bir
contents.jsondosyasına sahipti. - Bu depoların yarısı
truffleSecrets.jsondosyasını barındırıyordu ki bu, TruffleHog tarama sonuçlarını içeriyordu. - %80’inde
environment.jsondosyası yer almakta, bu dosyada işletim sistemi bilgileri, CI/CD metadata, npm paket bilgileri ve GitHub kimlik bilgileri bulunuyordu. - 400 depo, GitHub Actions çalışma akışlarının gizli bilgilerini barındıran
actionsSecrets.jsondosyasını saklıyordu.
Geçerli Token’lar ve Etkileri
Wiz’in notlarına göre, TruffleHog zararlı yazılımı -only-verified flag’ını kullanmadan çalıştığı için, ifşa edilen 400.000 gizli veri bilinen bir formatla eşleşiyor ama geçerliliği sorgulanabilir. Araştırmacılar, bu verilere rağmen hala yüzlerce geçerli gizli bilginin bulunduğunu belirtiyor. Özellikle, sızdırılan NPM token’larının %60’ının hala geçerli olduğu vurgulanıyor.
Sistem ve Platform Dağılımı
Yapılan analizler, etkilenen makinelerin %87’sinin Linux sistemleri olduğunu gösteriyor. Ayrıca, bulgular CI/CD platformlarının dağılımında GitHub Actions’ın lider olduğunu, ardından Jenkins, GitLab CI ve AWS CodeBuild’in geldiğini ortaya koyuyor.
Sonuç ve Gelecek Öngörüleri
Wiz’in araştırmalarına göre, saldırganların tekniklerini sürekli olarak geliştirmeye devam edeceği ve gelecekte daha fazla saldırı dalgası meydana getireceği öngörülüyor. Bu durum, saldırıda toplanan geniş veritabanının tehlikeli bir şekilde kullanılabileceğine işaret ediyor.
Saldırının etkilerinin azaltılmasının, kritik paketlerin erken tespit edilip nötralize edilmesi yoluyla mümkün olduğu ifade ediliyor. Dolayısıyla, yazılım geliştirme sürecinde güvenlik önlemlerinin artırılması ve sürekli izleme sistemlerinin kurulması, bu tür tehditlere karşı koruma sağlamak için kritik öneme sahip.
Bugünlerde, yazılımcıların ve şirketlerin güvenlik açıklarını en aza indirmek için proaktif bir yaklaşım benimsemesi daha da önemli hale gelmiştir. Bu tür saldırılara karşı duyarlılık ve gerekli önlemlerin alınması, geliştirme süreçlerinin güvenliğini artırmak adına gereklidir.
