Shai-Hulud V2 Saldırısı ve Maven Ekosistemi
Shai-Hulud supply chain saldırısının ikinci aşaması, npm ekosisteminde 830’den fazla paketin tehlikeye girmesinin ardından Maven ekosistemine de sıçramış durumda. Bu durum, yazılım geliştiriciler için ciddi bir güvenlik riski oluşturuyor.
Maven Central Paketi ve Kompromize Unsurlar
Socket Araştırma Ekibi, org.mvnpm:posthog-node:4.18.1 adlı Maven Central paketinin, Shai-Hulud ile ilişkilendirilen iki bileşeni içerdiğini belirledi: “setup_bun.js” yükleyicisi ve ana yük “bun_environment.js.” Bu, Shai-Hulud v2 yüklemesiyle hem JavaScript/npm hem de Java/Maven ekosistemlerinde etkilenmiş projelerin olduğunu gösteriyor.
Maven Central paketinin, PostHog tarafından yayımlanmadığını belirtmek önemlidir. Bu paket, npm paketlerini Maven sanat eserleri olarak yeniden inşa eden otomatik bir mvnpm süreci ile oluşturulmaktadır.
Geliştiricilere Yönelik Hedef Alma
Bu gelişmeler, küresel düzeyde yazılım geliştiricilerini hedef alan saldırıların devam ettiğini ve API anahtarları, bulut kimlik bilgileri ile npm ve GitHub jetonları gibi hassas verilerin çalınmasına yönelik ciddi bir tehdit oluşturduğunu göstermektedir. Saldırının yeni versiyonu, daha gizli, saldırgan, ölçeklenebilir ve yıkıcı hale gelmiştir.
Geliştiricilerin npm bakıcısı hesaplarına yetkisiz erişim sağlama ve Trojanlaştırılmış paketleri yayımlama olanağına sahip olduğu bu saldırılar, kurban makinelerini backdoor’lama ve gizli verileri GitHub depo’larına exfiltrasyon etme üzerine odaklanmıştır.
Saldırının Teknik Detayları
Shai-Hulud v2 saldırısı, iki kötü niyetli iş akışı ile çalışmaktadır. Bunlardan biri, kurban makinesini bir kendinden barındırılan yürütücü olarak kaydeder ve bir GitHub Tartışması açıldığında keyfi komutların yürütülmesine izin verir. Diğer iş akışı ise, gizli anahtarları sistematik olarak toplamak için tasarlanmıştır.
Bu saldırıların etkisi geniş bir yelpazeyi kapsamakta; 28,000’den fazla depo etkilenmiştir. Özellikle kötü niyetli yazılım, kendini çoğaltma yeteneğine sahip olması nedeniyle küçük bir enfekte olmuş hesabın, büyük bir krize dönüşmesine olanak tanımaktadır.
Vulnerabilite ve Saldırı Yöntemleri
Aikido’ya göre, tehdit aktörleri mevcut GitHub Actions iş akışlarındaki pull_request_target ve workflow_run iş akışı yapılandırmalarındaki zafiyetleri istismar etmiştir. Araştırmacı Ilyas Makari, “Bir tek hatalı yapılandırma, bir depo için hızlı yayılan bir saldırının merkez üssü haline gelebilir,” diyor.
Hedeflerin arasında AsyncAPI, PostHog ve Postman gibi projeler vardır. Saldırının nasıl yayılabileceği, bu tür yapılandırmalar üzerinden çok hızlı bir şekilde gerçekleştirilmektedir.
Korunma Önlemleri ve Gelecek Düşünceleri
Kullanıcılara token ve anahtarlarını döndürmeleri, tüm bağımlılıkları denetlemeleri, tehlikeli sürümleri kaldırmaları ve temiz paketleri yeniden yüklemeleri önerilmektedir. Ayrıca, geliştirici ve CI/CD ortamlarını en az ayrıcalık erişimi, gizli tarama ve otomatik politika uygulaması ile güçlendirmek de kritik öneme sahiptir.
Bu saldırılar, modern yazılım tedarik zincirinin ne kadar kırılgan olduğunu bir kez daha gösteriyor. Dan Lorenc, “Tek bir hatalı bakımcı ve kötü niyetli bir yükleme betiği, binlerce projenin etkilenmesine yol açabilir,” diyor. Önerilen savunma, yazılımın nasıl oluşturulduğu ve tüketildiği yöntemlerini değiştirmektir.
Sonuç olarak, Shai-Hulud v2 saldırısı, yazılım güvenliğinin önemini bir kez daha gözler önüne sererken, geliştiricilerin bu tür tehditlerle karşılaşmaması için sürekli olarak sistemlerini güncellemeleri ve koruma önlemleri almaları gerekmektedir.
