Yeni Tedarik Zinciri Saldırısı: Mini Shai-Hulud
Son günlerde siber güvenlik uzmanları, SAP ile ilişkili npm paketlerini hedef alan yeni bir tedarik zinciri saldırısını rapor etti. Bu saldırının amacı, geliştiricilerin kimlik bilgilerini çalmak ve zararlı yazılım propagation platformu kurmaktır.
Saldırı Nasıl Çalışıyor?
Saldırıya “mini Shai-Hulud” adı verilmektedir ve [email protected], @cap-js/[email protected], @cap-js/[email protected], @cap-js/[email protected] gibi paketleri etkilemektedir. Saldırı gerçekleştirilen versiyonlarda, daha önce beklenmeyen yeni bir yükleme zamanı davranışı eklenmiş ve başka bir yükleme işlemi başlatılmıştır.
- Yeni bir package.json preinstall kancası eklenmiştir.
- “setup.mjs” adlı bir dosya yüklenmekte ve Bu, execution.js adında bir ödeme çerçevesini çalıştıran bir yükleyici olarak işlev görmekte.
Ayrıca, birkaç önemli güvenlik açığı bulunmaktadır:
- HTTP yönlendirmelerini doğrulamadan takip edebilmektedir.
- Windows’ta PowerShell -ExecutionPolicy Bypass kullanması, etkilenen CI/CD ortamları için riski artırmaktadır.
Etkilenen Sistemler
Saldırı, 29 Nisan 2026 tarihinde gerçekleştirildi ve çoğu GitHub üzerinden etkileşime giren npm paketleri ile bağlantılıdır. Kullanıcıların kişisel hesapları üzerinden şifreler ve API anahtarları gibi hassas veriler çalınmakta ve bunlar kullanıcıların kendi oluşturduğu halka açık GitHub depolarında şifrelenmiş olarak saklanmaktadır.
- Yerel geliştirici kimlik bilgileri
- GitHub ve npm token’ları
- GitHub Actions gizli anahtarları
- AWS, Azure, GCP ve Kubernetes bulut sırlı verileri
Kötü amaçlı yazılım, depolanan verileri AES-256-GCM ile şifreleyerek yalnızca saldırgan tarafından çözülebilir hale getirmekte.
Çözüm ve Korunma
Etkilenen tüm paketler için, paket yöneticileri yeni güvenli sürümler yayınlamıştır. Kullanıcıların alması gereken önlemler:
- Hemen paket yöneticilerini güncelleyin ve kırılmış olan sürümleri kaldırın.
- Güvenlik taramaları ve kontrolleri gerçekleştirin.
- CI/CD ortamlarını gözden geçirerek yetkilendirme ayarlarınızı kontrol edin.
Sonuç olarak, kullanıcılara npm paketlerini ve bağımlılıklarını dikkatle güncellemeleri, şüpheli paketleri kaldırmaları ve güvenlik kontrollerini artırmaları şiddetle önerilmektedir. Herhangi bir potansiyel risk veya şüpheli faaliyet tespit edilirse, derhal gerekli önlemler alınmalıdır.
