Shai-Hulud Worm’un Yeni Tehdidi: npm Registry Üzerindeki Gelişmeler
Siber güvenlik araştırmacıları, npm kayıt defterinde, geçen ay gözlemlenen dalgadan hafif modifikasyonlarla yeni bir Shai-Hulud suşunun detaylarını açıkladı. Bu keşif, yazılım geliştirme dünyasında kaygı uyandıran son gelişmelerden biri olarak öne çıkıyor.
Yeni Şifreli Paket: @vietmoney/react-big-calendar
Yeni Shai-Hulud suşunu barındıran npm paketi, “@vietmoney/react-big-calendar” olarak biliniyor. Bu paket, 2021 yılının Mart ayında “hoquocdat” kullanıcı adıyla yüklendi. 28 Aralık 2025 tarihinde, 0.26.2 sürümüne güncellendi ve ilk yayımından bu yana 698 kez indirildi.
Aikido, bu paketin ciddi bir yayılma veya enfeksiyon gözlemlenmediğini belirtti. Güvenlik uzmanı Charlie Eriksen, bu durumun, saldırganların muhtemelen payloadlarını test etmekte olduklarını gösterdiğini ifade etti. Kodda yapılan değişikliklerin, orijinal kaynağın tekrar obfuscate edildiğini ve yerinde değiştirilmediğini ortaya koyduğunu vurguladı.
Geçmişteki Shai-Hulud Saldırıları
Shai-Hulud saldırısı ilk olarak Eylül 2025’te ortaya çıktı. Bu saldırılarda, trojanlı npm paketleri, API anahtarları ve bulut kimlik bilgileri gibi hassas verileri çalarak GitHub depolarına boşalttı. Kasım 2025’te gözlemlenen ikinci dalgada ise depolar “Sha1-Hulud: The Second Coming” açıklamasıyla dikkat çekti.
Bu yeni kampanyanın en önemli özelliği, npm tokenlarını kullanarak, geliştiriciyle ilişkili en çok indirilmiş 100 paketi hedef alması ve aynı kötü niyetli değişiklikleri bu paketlere ekleyerek npm’e göndermesidir. Bu da tedarik zinciri ihlalinin ölçeğini artırmaktadır.
Yapılandırmadaki Önemli Değişiklikler
Yeni suşta dikkate değer değişiklikler bulunmaktadır:
- İlk dosya artık “bun_installer.js” olarak adlandırılmakta ve ana payload “environment_source.js” olarak tanımlanmaktadır.
- Sırların sızdırıldığı GitHub depoları “Goldox-T3chs: Only Happy Girl” açıklamasına sahiptir.
- Sırları içeren dosya isimleri: 3nvir0nm3nt.json, cl0vd.json, c9nt3nts.json, pigS3cr3ts.json ve actionsSecrets.json olarak tanımlanmaktadır.
Diğer önemli değişiklikler arasında, TruffleHog’un kimlik bilgisi tarayıcısının zaman aşımında daha iyi hata yönetimi, işletim sistemine dayalı paket yayınlama ve veri toplama ile kaydetme sırası üzerinde yapılan ayarlamalar bulunmaktadır.
Tehditlerin Genişlemesi: Cobalt Strike Beacon’ı ve Yanlış Yükleme Hedefleri
Bu gelişmeler arasında, kötü niyetli bir paket olarak tanımlanan “org.fasterxml.jackson.core/jackson-databind” da dikkat çekmektedir. Bu paket, sahte bir Jackson JSON kütüphanesi uzantısı gibi görünmekte ve multi-aşamalı bir saldırı zinciri içermektedir. Java Arşivi (JAR) dosyasında, dikkat çekmemek için obfuscate edilmiş kod bulunmaktadır.
Paket içinde, geliştiricinin “pom.xml” dosyasına eklendiği anda aktive olacak bir yapı mevcuttur. Çalışma dizininde “.idea.pid” adında bir dosya aranmakta ve bu dosya mevcutsa, malware kendini kapatmaktadır.
Sonuç olarak, bu saldırılar, güvenlik açıklarını hedef alarak yazılım geliştirme süreçlerini tehdit etmektedir. Tedarik zinciri güvenliği sağlamak için, paket yöneticilerinin yüksek değerli ad alanlarını izlemeleri ve benzer görünümlü ad alanlarını ek doğrulamaya tabi tutmaları önerilmektedir.
