Trivy Tarayıcısındaki Tedarik Zinciri Saldırısı
Son dönemde, popüler Trivy tarayıcısını hedef alan bir tedarik zinciri saldırısı gerçekleştirildiği ve bu saldırı sonucunda pek çok npm paketinin etkilendiği tespit edildi. Bu durum, yazılım güvenliğini tehdit eden ciddi bir risk olarak ön plana çıkıyor.
Saldırı Nasıl Çalışıyor?
Saldırganlar, saldırının bir parçası olarak kullanılan kötü amaçlı yazılım olan CanisterWorm ile birlikte çeşitli npm paketlerini ele geçirmiştir. Bu kötü amaçlı yazılım, ICP canister adı verilen akıllı sözleşmeleri kullanarak komut ve kontrol (C2) sunucusundan yüklemeleri gerçekleştirir. Aşağıda etkilenen paketlerin listesi bulunmaktadır:
- 28 paket @EmilGroup kapsamındadır.
- 16 paket @opengov kapsamındadır.
- @teale.io/eslint-config
- @airtm/uuid-base32
- @pypestream/floating-ui-dom
Saldırı, bir postinstall işlem kancası kullanılarak başlatılmakta ve bu kanca, bir Python arka kapısı yüklemektedir. Bu arka kapı, ICP canister üzerinden sonraki aşama yüklemesini alır ve bu nedenle alttaki altyapıyı tespit etmek oldukça zordur.
Etkilenen Sistemler
Bu saldırıdan etkilenen sistemler genel olarak şu şekildedir:
- Linux tabanlı sunucular
- Geliştirme ortamları
- CI/CD hatları üstündeki ortaya çıkan sistemler
Saldırganlar, kendi geliştirdikleri kötü amaçlı yazılımı, systemd kullanıcı servisi olarak gizleyerek çalıştırmakta ve servis kesildiğinde bile otomatik olarak yeniden başlatılmasını sağlamaktadır.
Çözüm ve Korunma
Yazılım geliştirme süreçlerinizde alınması gereken önlemler şunlardır:
- npm ile bağımlılıkların güncellemelerini kontrol edin ve riskli paketleri özellikle tarayın.
- Şüpheli herhangi bir davranış veya işlem denetimleri gerçekleştirin.
- Hızla güncelleme ve yamalama yapın, özellikle @teale.io/eslint-config paketinin 1.8.11 ve 1.8.12 sürümleri üzerinde dikkatli olun.
- Gereksiz portları kapatın ve sadece gerekli olanları açın.
- Geliştirme ortamlarınızda geçmiş erişimlerinizi gözden geçirin ve şüpheli kimlik bilgilerini değiştirin.
Sonuç olarak, üzerindeki kötü amaçlı yazılım ile birlikte tüm geliştirme ortamlarınızı korumak için güncellemelerinizi hemen kontrol etmeli ve gerekli önlemleri almalısınız. Bu tür saldırılar, yalnızca kaynak sürecinizi değil, aynı zamanda projenizin güvenliğini ciddi biçimde tehdit eder.
