Giriş
Son dönemde, Mini Shai-Hulud, Miasma ve Hades kötü amaçlı yazılım ailelerine bağlı bir tedarik zinciri saldırısının yeni bir evrimi tespit edildi. Bu atak, npm paketlerini ve Go ekosistemini hedef alarak geliştirici kimlik bilgilerini çalmayı amaçlıyor.
Saldırı Nasıl Çalışıyor?
Saldırının temel amacı, geliştiricilerin veya yöneticilerin kimlik bilgilerini ele geçirip, çalınan verilerin yanı sıra diğer paket kayıtları, depolar ve güvenilir geliştirici iş akışlarına yayılmasını sağlamaktır. Son saldırılarda, aşağıdaki npm paketlerinin etkilendiği bildirilmektedir:
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- github.com/verana-labs/[email protected] (Go)
Saldırının, LeoPlatform ile bağlantılı bir npm geliştirici hesabının ele geçirilmesi sonrasında gerçekleştiği düşünülmektedir. Bu, saldırganların, yöneticinin npm token‘ını kullanarak trojanize edilmiş sürümleri altı saniye içinde yüklemelerine olanak tanımıştır.
Etkilenen Sistemler
Saldırı sonrası etkilenen yazılım bileşenleri, CI/CD sistemleri, AWS destekli uygulamalar ve geliştirici iş istasyonlarını kapsamaktadır. Bu da geliştiricilerin iş akışlarının zayıf noktalarını hedef alarak güvenliği tehlikeye atmaktadır. Özellikle, kötü amaçlı paketler, aşağıdaki teknikleri kullanmaktadır:
- npm kayıt zehirlenmesi
- binding.gyp kurulum zamanı yürütmesi
- Bun-staged JavaScript kötü amaçlı yazılım
- GitHub dökümanları çalma
- IDE ve AI kod yardımcısı kalıcılığı
Kötü amaçlı yazılımlar, bellekten CI/CD ortamı sırlarını yakalayan bir iş akışı olan “Run Copilot” adında bir workflow oluşturmakta ve bilgiler kamuya açık GitHub havuzuna yüklenmektedir. Mevcut durumda, “Alright Lets See If This Works” açıklamasıyla toplam 559 repository bulunmaktadır.
Çözüm ve Korunma
Bu tür saldırılara karşı korunmanın en etkili yolu, yazılımların ve bağımlılıkların güncel tutulmasıdır. Bunun yanı sıra, aşağıdaki adımların izlenmesi önerilmektedir:
- Geliştirici hesaplarının güvenliğini artırın: İki faktörlü kimlik doğrulama kullanın.
- Güncellemeleri düzenli olarak kontrol edin: Yazılımların güncel versiyonları kullanın.
- Geliştirici iş akışlarında harici ve güvenilmeyen kaynaklardan gelen paketleri kullanmaktan kaçının.
- Port kapatma: Kullanılmayan portları güvenlik duvarında kapatın.
Sonuç olarak, geliştiricilerin ve güvenlik uzmanlarının bu tür tehditlere karşı proaktif olmaları ve gerekli önlemleri alması gerekmektedir. Yazılımların güncellenmesi, saldırı yüzeyini minimize edecektir.
