Shai-Hulud Saldırıları ve NPM Güvenlik Açıkları
Şirketlerin yazılım tedarik zincirlerinde güvenlik açıkları, siber saldırganların kötü niyetli eylemlerine zemin hazırlayabilir. NPM’in (Node Package Manager) ‘Shai-Hulud’ isimli saldırıdan sonra geliştirdiği güvenlik önlemlerinin, Git bağımlılıkları üzerinden aşılabilen zayıflıkları olduğu keşfedilmiştir.
Saldırı Nasıl Çalışıyor?
Shai-Hulud tedarik zinciri saldırısı, Eylül 2025’te NPM’i vurarak 187 paketi tehlikeye atmıştır. Ardından, bir ay sonra 500 paketi etkileyen yeni bir dalga ortaya çıkmış ve bu durum sonucunda 30.000’den fazla otomatik oluşturulmuş GitHub reposunda 400.000 geliştirici sırrının ifşa olduğu tespit edilmiştir.
Koi’daki araştırmacılar, NPM’in Git deposundan bağımlılık yüklediğinde, kötü niyetli bir ‘.npmrc’ yapılandırma dosyasının teknik olarak geçerli olan ‘—ignore-scripts’ bayrağını atlayarak, tam kod yürütme sağladığını saptamışlardır. Bu teknik, geçmişte bir ters bağlantı oluşturmak için kullanılan kanıtları barındırmaktadır.
Diğer JavaScript paket yöneticilerinde de script yürütme güvenlik önlemlerinin kaynağı ayrı mekanizmalarla aşılabilmektedir. Ayrıca, pnpm ve vlt için kilit dosyası bütünlüğü aşımı da mümkündür. Bun, 1.3.5 sürümünde bu açıkları gidermiştir. Vlt ise, Koi ile iletişime geçtikten sonraki günlerde düzeltmelerini yayınlamıştır. Pnpm ise CVE-2025-69263 ve CVE-2025-69264 kodları altında izlenen iki açık için düzeltmeler sağlamıştır.
Etkilenen Sistemler
Yukarıdaki güvenlik açıkları ve saldırılar, şu araçları etkilemiştir:
- NPM
- pnpm
- vlt
- Bun
CVE Açıkları ve Yamanmalar
Aşagıdaki CVE açıkları, siber güvenlik uzmanları tarafından tespit edilmiş ve düzeltme gerektiren durumlarda yer almıştır:
- CVE-2025-69263: Pnpm’de tespit edilen açık.
- CVE-2025-69264: Diğer bir Pnpm açığı.
NPM’in Tepkisi
Koi, bulgularını NPM’in HackerOne raporlama sistemine göndermiş, ancak NPM bu raporu, kullanıcıların yükledikleri paketlerin içeriğini incelemekle yükümlü olduklarını belirterek reddetmiştir. NPM, bu rapora karşılık verme girişimlerine de yanıt vermemiştir. GitHub, bu durumu değerlendirerek NPM’in kayıtlı veritabanını kötü amaçlı yazılımlara karşı daha aktif bir şekilde taradığını belirtmiştir. Ayrıca, yazılım tedarik zincirinin güçlendirilmesi için güvenilir yayınlama ve iki faktörlü kimlik doğrulama kullanımı gibi yöntemlerin benimsenmesini önermiştir.
Çözüm ve Korunma
Okuyucuların dikkat etmesi gereken önemli adımlar şunlardır:
- Gerekli güncellemeleri gerçekleştirin: Özellikle pnpm ve Bun için en son sürümleri yükleyin.
- Paketteki yaşam döngüsü betiklerini yükleme sırasında devre dışı bırakın: Bu işlem için –ignore-scripts=true bayrağını kullanın.
- Geliştirme ortamlarınızı düzenli olarak gözden geçirin ve gereksiz portları kapatın.
Siber güvenlik tedbirleri almak, olası saldırılara karşı proaktif bir yaklaşımı benimsemektir. Sistemlerinizi korumak için atabileceğiniz adımları ihmal etmeyin.
