Shai-Hulud Zararlı Yazılımı ve NPM Tehditleri
Shai-Hulud isimli zararlı yazılım, npm (Node Package Manager) paket yöneticisi aracılığıyla geniş bir saldırı gerçekleştirdi. Özellikle Zapier, ENS Domains, PostHog ve Postman gibi tanınmış paketlerin trojan versiyonları, bu yeni tedarik zinciri saldırısında yer aldı. Hedef, geliştirici ve sürekli entegrasyon ile sürekli dağıtım (CI/CD) gizliliklerini çalmak. Bu veriler, otomatik olarak GitHub’a kodlanmış biçimde yükleniyor. Yayın zamanı itibarıyla GitHub, 27,600 sonuç döndürdü.
Tehditin Derinliği
Shai-Hulud zararlı yazılımı, Eylül ortalarında npm ortamında ilk kez belirdiğinde 187 paketi ele geçirmişti. Zararlıyı dağıtan aktör, meşru paketleri otomatik olarak indiriyor, package.json dosyasını değiştirmek suretiyle zararlı betikleri yerleştiriyor ve ardından bu paketleri, ele geçirilmiş bakımcı hesapları aracılığıyla npm üzerinde yayımlıyor.
Malware araştırmacısı Charlie Eriksen, Aikido Security platformunda gerçekleştirdiği inceleme neticesinde öncelikle 105 trojan paketi tespit etti. Ancak bu sayı, zamanla daha da büyüyerek 492’ye ulaştı ve bazıları birden fazla versiyon içeriyor.
GitHub Üzerindeki Etkileri
Zararlının etkileri GitHub üzerinde belirgin bir şekilde görünmeye başladı. Eriksen, GitHub üzerindeki dizinlerin, trojaniz edilmiş npm paketlerini kullanan geliştiricilerin hesaplarının ele geçirildiğini gösterdiğini belirtti. Bu durum, kullanıcıların GitHub erişimi olan ilgili çevrelerinde gizliliklerini tehlikeye attı.
Wiz adlı bulut güvenlik platformunda görevli tehdit araştırmacıları, saldırının boyutunu daha da genişleterek 27,000’den fazla zararlı paketin bulunduğunu tespit etti. Araştırmalar, 350’den fazla farklı bakım hesabının kullanıldığını işaret ediyor. Gündemdeki açıklamalar, her 30 dakikada 1,000 yeni dizinin eklenmeye devam ettiğini ortaya koyuyor.
Shai-Hulud’un Teknik Özellikleri
Zararlı yazılım iki ana dosya içeriyor: setup_bun.js ve bun_environment.js. İkincisi, 10MB boyutuyla dikkat çekiyor ve “aşırı obfuscation teknikleri” kullanıyor. Bu teknikler arasında büyük hex-encoded dizeler ve anti-analiz döngüleri bulunuyor. Toplanan geliştrici ve CI/CD sırları, GitHub repository’lerine “Shai-Hulud” bağlantılı isimlerle yayımlanıyor.
Geliştiriciler İçin Uyarılar
Takvimdeki gelişmelere bakıldığında GitHub, sürekli olarak zararlı yazılım içeren dizinleri silse de, saldırganın yeni dizinler oluşturması oldukça hızlı bir şekilde gerçekleşiyor. Geliştiricilere, ele geçirilen paketlerin tam listesini kontrol etmeleri, güvenli versiyonlara geçiş yapmaları ve gizlilik anahtarlarını derhal değiştirmeleri öneriliyor.
Wiz araştırmacıları, güvenlik ekiplerine zarar görmüş paketleri tespit etmelerini ve bunları meşru paketlerle değiştirmelerini tavsiye ediyor. Ayrıca, npm, GitHub ve bulut hizmet sağlayıcılarına bağlı tüm kimlik bilgilerini yenilemeleri konusunda uyarıyorlar.
Aikido Security, geliştiricilere sürekli entegrasyon sırasında npm postinstall betiklerini devre dışı bırakmalarını öneriyor. Şai-Hulud’un geri dönüşü, GitHub’ın yüksek etkili saldırılara karşı yeni güvenlik önlemleri uyguladığı bir dönemde gerçekleşiyor. Ancak bu önlemler kademe kademe uygulanıyor.
