Yeni Shai-Hulud Saldırısı: PyPI Paketleri Üzerinden Malware Yayılımı
Son dönemde, siber güvenlik alanında dikkat çekici bir olay yaşandı. Hackerlar, PyPI üzerinde popüler olan 19 paketi tehlikeye atarak, yazılımcıların gizli bilgilerini çalmak üzere tasarlanmış bir malware dağıttılar. Bu olay, yazılım geliştirme süreçlerini tehdit eden ciddi bir güvenlik sorununu gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Saldırı, Socket isimli uygulama güvenliği şirketi tarafından keşfedildi ve 19 pakette toplam 37 kötü amaçlı yayımın olduğu belirlendi. Bu paketler arasında birçok popüler biyoinformatik aracı bulunuyor, örneğin Dynamo, Spateo, CoolBox, U-FISH ve Napari-UFISH. Kötü amaçlı yazılımlar arasında bir ‘*-setup.pth’ dosyası ve obfuscate edilmiş bir JavaScript yükü olan ‘_index.js’ yer alıyor.
Kullanıcılar, Python’un çalıştırılmasıyla bu PTH dosyasının tetiklenmesini sağlıyor ve bu da GitHub’dan Bun JavaScript çalışma zamanını indirme çabasına girişiyor. Kısacası, saldırı, aşağıdaki gibi bir dizi ortamda tetikleniyor:
- Python çalıştırıldığında
- pip, test çalıştırmaları veya notebook çekirdekleri ile
- CI iş akışlarında
- Paket yönetim komutlarında
Saldırının, daha geniş çaplı “Shai-Hulud” kampanyasının bir parçası olduğu düşünülüyor ve Socket, bu kampanya altında şimdiye kadar tespit edilen 453 kötü amaçlı öğeyi takip ediyor.
Etkilenen Sistemler
JavaScript yükü, aşağıdakileri içeren geniş bir geliştirici takip bilgileri yelpazesini hedef alıyor:
- GitHub token’ları ve GitHub Actions gizli bilgileri
- npm, PyPI, RubyGems, JFrog yayın token’ları
- AWS, GCP, Azure, Kubernetes ve Vault kimlik bilgileri
- SSH anahtarları
- Docker kimlik bilgileri
- .env, .npmrc, .pypirc dosyaları
- Shell geçmişleri
- Claude/MCP yapılandırma dosyaları
- Diğer geliştirici istasyonu ve CI/CD gizli bilgileri
Bu saldırının amacı, yazılım geliştirme iş akışlarını tehlikeye atarak malware’in yayılımını artırmak olarak değerlendiriliyor.
Çözüm ve Korunma
Saldırının veri sızdırma yöntemleri, geçmiş Shai-Hulud operasyonlarıyla benzerlik gösteriyor. Kötü amaçlı yazılım, GitHub Actions aracılığıyla gizli bilgilerin depolandığı otomatik olarak oluşturulmuş GitHub repoları kullanıyor. Ayrıca, doğrudan HTTPS tabanlı bir data eksfiltrasyon metodu da bulunuyor.
Socket’in raporuna göre, etkilenen paketlerin tümü ve versiyonları listelenmiş durumu. Ayrıca, bu paketleri yükleyen organizasyonların tüm gizli bilgilerini değiştirmeleri ve güvenli yedeklerden ortamlarını geri yüklemeleri önerilmektedir.
Siber güvenlik önlemleri olarak, kullanıcıların dikkat etmesi gereken noktalar:
- Python paketlerinde yürütülebilir .pth başlangıç kancaları arayın.
- GitHub’dan gelen beklenmeyen Bun JavaScript çalışma zamanları indirimlerine dikkat edin.
- Python’un Bun’u başlatıp _index.js’i çalıştırdığı işlem zincirlerini izleyin.
Sonuç olarak, hemen gerekli güncellemeleri yaparak ve altyapınızı güvene almak için gerekli adımları atarak bu tehdide karşı hazırlıklı olmalısınız. Siber güvenliğinizi ihmal etmeyin ve sürekli olarak güncel kalmaya özen gösterin.
