Shai-Hulud Kötü Amaçlı Yazılımı NPM’e Sızdı
Geçtiğimiz hafta sızan Shai-Hulud kötü amaçlı yazılımı, Node Paket Yöneticisi (npm) üzerinde yeni saldırılarda kullanılmaya başlandı. Bu saldırılar sonucunda enfekte olmuş paketler ortaya çıktı ve geliştirici bilgilerini, gizli anahtarları, kripto para cüzdanı verilerini ve hesap bilgilerini hedef aldı.
Saldırı Nasıl Çalışıyor?
Saldırgan, deadcode09284814 hesabını kullanarak npm’de dört kötü amaçlı paket yayımladı. Bu paketlerden biri, Shai-Hulud’un obfuscate edilmemiş bir versiyonunu içeriyor ve system kaynaklarını hedef alıyor. Tüm zararlı paketler, şifreler ve konfigürasyon dosyaları gibi bilgileri sızdırabilen rutinler içeriyor; ancak bir tanesi, sistemi dağıtılmış hizmet engelleme (DDoS) saldırıları için bot haline getiriyor.
Aşağıdaki kötü amaçlı paketler dikkat çekmektedir:
- chalk-tempalte – Shai-Hulud klonu (bilgi hırsızı)
- @deadcode09284814/axios-util – Kimlik bilgileri ve bulut konfigürasyonu hırsızı
- axois-utils – Bilgi hırsızı + sürekli DDoS botnet (“hayalet bot”)
- color-style-utils – Kripto cüzdanları ve IP bilgilerini hedef alan temel bilgi hırsızı
Araştırmacılar, chalk-tempalte paketinin, TeamPCP hacker grubuna atfedilen Shai-Hulud kötü amaçlı yazılımının bir kopyasını içerdiğini bildirmektedir. Bu, npm’de dökümlenen ilk Shai-Hulud klonu olarak görünmektedir.
Etkilenen Sistemler
Shai-Hulud malware, hesapların yayın izinlerine sahip kimlik bilgilerini çalarak bu bilgileri 87e0bbc636999b[.]lhr[.]life adresindeki bir komut ve kontrol (C2) sunucusuna sızdırır. Kötü amaçlı yazılım, GitHub yayınlama işlevselliğini sürdürüyor; dolayısıyla çalınan kimlik bilgilerini kamuya açık, otomatik olarak oluşturulan depolara yüklemektedir.
Diğer üç paket arasında, axois-utils, DDoS yetenekleri içeren tek paket olarak dikkat çekmektedir. Bu paket, HTTP, TCP ve UDP saldırılarını desteklemektedir. Araştırmacılar, içsel olarak “hayalet bot” referanslarına da rastlamıştır.
Çözüm ve Korunma
Araştırmacılar, enfekte olan npm paketlerini indiren geliştiricilerin bu paketleri derhal kaldırmalarını ve etkilenmiş sistemlerde kimlik bilgilerini ve API anahtarlarını değiştirmelerini önermektedir. Geliştiricilerin dikkat etmesi gereken noktalar:
- Paketleri kaldırın.
- Karmaşık kimlik bilgileri oluşturun ve değiştirin.
- API anahtarlarınızı yenileyin.
- Sistem güvenlik ayarlarını gözden geçirin.
Bu kötü amaçlı yazılım kampanyası, Eylül 2025’ten bu yana devam etmektedir ve daha önceki versiyonlarıyla benzer biçimde, geliştiricilerin projelerine sızarak veri çalmıştır. Şu ana kadar bu dört paketin toplam indirilme sayısı 2,678 bulunmaktadır.
Sonuç olarak, tüm geliştiricilerin bu tehdidi dikkate alması ve hızlı bir şekilde harekete geçmesi gerekmektedir. Güvenliğinizi sağlamak için güncellemeleri ve port kapatma işlemlerini ihmal etmeyin.
