Giriş
Geliştiricilerin güvenliğini tehdit eden yeni bir siber saldırı dalgası, 600’den fazla kötü niyetli npm paketinin Node Package Manager (npm) indeksine sızdırılması ile gerçekleşti. Bu saldırılar, yazılım geliştirme ortamlarını hedef alarak kritik bilgilerin çalınmasına neden olmaktadır.
Saldırı Nasıl Çalışıyor?
Yeni Shai-Hulud tedarik zinciri saldırısı, CVE kodları ve diğer teknik detaylar ile şekillenmiştir. Saldırganlar, geliştirici ve CI/CD ortamlarından gizli bilgileri toplayarak bu bilgileri Session P2P ağı üzerinden dışarı aktarmaktadır. Bununla birlikte, GitHub’ı bir yedek dış dünyaya veri sızdırma mekanizması olarak kullanmakta ve çalınan verileri mağdur hesaplarında yayınlamaktadır.
Socket’ın raporuna göre, saldırganlar, bir saat içinde 639 kötü niyetli versiyon yayımlamış ve etkiledikleri paketler şunlardır:
- echarts-for-react
- @antv/g2
- @antv/g6
- @antv/x6
- @antv/l7
- @antv/g2plot
- @antv/graphin
- timeago.js
- size-sensor
- canvas-nest.js
Etkilenen Sistemler
Bu saldırı, pek çok yazılım ekosistemini etkilemektedir; bunlar arasında npm, PyPI ve daha az oranda Composer bulunmaktadır. Saldırının ana hedefi, geliştirici çalışma istasyonları ve CI/CD ortamlarıdır. Özellikle şu platformlar etkilenmektedir:
- GitHub Actions
- GitLab CI
- Jenkins
- Azure DevOps
- CircleCI
- Vercel
- Netlify
Saldırganlar, index.js dosyasını kullanarak GitHub, npm, bulut, Kubernetes, Vault, Docker, veritabanı ve SSH kimlik bilgilerini çalmaktadır.
Çözüm ve Korunma
Geliştiricilerin bu saldırıdan korunmak için atması gereken adımlar şunlardır:
- İlgili npm paketlerini hemen kaldırın.
- Etki alanınızdaki gizli bilgileri yenileyin.
- CI/CD yapılandırmalarını ve kimlik doğrulama mekanizmalarını gözden geçirin.
Ayrıca, Socket’in oluşturduğu bir listeyle, gerçekleşen tüm Shai-Hulud saldırıları hakkında daha fazla bilgiye erişebilirsiniz.
Son olarak, Shai-Hulud’un yeni varyantları daha fazla görünürlük elde etmiş durumda. CVE kodları ve diğer güncellemeler için sürekli takip etmeniz önemlidir.
Aksiyon
Hemen eyleme geçerek, etkilenmiş paketleri kaldırın ve sisteminizdeki tüm kimlik bilgilerini yenileyin. İlgili güvenlik önlemlerini alarak siber tehditlere karşı hazırlıklı olun.
