Bitwarden CLI Saldırısı ve Önemi
Geçtiğimiz günlerde, popüler şifre yöneticisi Bitwarden’ın CLI (Komut Satırı Arayüzü) aracı kısa bir süre için kötü niyetli bir saldırıya maruz kaldı. Bu saldırı, geliştiricilerin projelerinde kullanabileceği gizli verileri çalan bir yüklemenin, npm üzerinde yayımlanan sahte bir @bitwarden/cli paketine yerleştirilmesiyle gerçekleştirildi.
Saldırı Nasıl Çalışıyor?
Saldırganlar, Bitwarden’ın CI/CD (Sürekli Entegrasyon/Sürekli Dağıtım) pipeline’ında, kötü niyetli kodu Bitwarden CLI npm paketine eklemek için bir GitHub Action’ını kullanmış görünüyor. JFrog’a göre, bu paket 2026.4.0 sürümünde değiştirilmiş olup, yükleme sırasında çalışan özel bir yükleyici bw_setup.js dosyasını kullanıyor. Bu yükleyici, preinstall betiği ile CLI giriş noktasını çalıştırarak, uygun ortam olmadığında Bun runtime’ını indirmektedir.
Yükleyici ardından, bw1.js adındaki şifreleri çalan kötü amaçlı JavaScript dosyasını başlatmaktadır. Bu dosya, bazı gizli bilgileri, örneğin npm tokenları, GitHub kimlik doğrulama tokenları, SSH anahtarları ve AWS, Azure ile Google Cloud üzerindeki bulut kimlik bilgilerini toplamaktadır.
Elde edilen veriler, AES-256-GCM ile şifrelenmekte ve ardından kurbanın hesabında oluşturan halka açık GitHub havuzları altında saklanmaktadır. OX Security’nin raporuna göre, oluşturulan havuzlar arasında “Shai-Hulud: The Third Coming” dizesi bulunmaktadır; bu da önceki npm tedarik zinciri saldırılarına atıfta bulunmaktadır.
Kötü amaçlı yazılım, aynı zamanda kendi kendine yayılan özelliklere de sahiptir. OX Security’ye göre, çalınan npm kimlik bilgilerini kullanarak, mağdurun değiştirebileceği paketleri tanımlayıp, bunlara kötü niyetli kod enjekte edebilmektedir.
Etkilenen Sistemler
Bitwarden, yalnızca npm dağıtım kanalını etkilendiğini ve yalnızca kötü niyetli sürümü indiren kullanıcıların mağdur olduğunu belirtmiştir. Kullanıcıların endişe etmesine gerek olmadığını ancak alınması gereken bazı önlemler olduğunu vurgulamıştır.
Çözüm ve Korunma
Eğer etkilenen sürümü kurmuş olan geliştiriciler varsa, aşağıdaki adımları izlemelidirler:
- Sistem ve kimlik bilgilerini tehlikede olarak kabul edin.
- Tüm kimlik bilgilerinizi değiştirin. Özellikle CI/CD pipeline’ları, bulut depolama ve geliştirme ortamları için kullanılanlar.
- Güvenlik güncellemelerinizi uygulayın ve sistemlerinizi yeniden kontrol edin.
- Kötü niyetli paketleri kaldırın ve kullanılmayan npm kayıtlarını temizleyin.
Bu olaydan aldığı derslerde, yazılım geliştiricilerin ve organizasyonların tedarik zincirlerine yönelik saldırılara karşı daha dikkatli olmaları ve güvenlik önlemlerini sürekli olarak gözden geçirmeleri gerekmektedir.
