Pazar araştırma şirketi Klue, bu ayın başlarında, 2022 yılına kadar uzanan ve sınırlı bir pilot proje kapsamında kullanılan bir kimlik bilgisi sayesinde hackerların birçok kurumsal müşterisinden büyük miktarda veri çaldığını doğruladı. Bu veriler arasında çeşitli siber güvenlik şirketleri de bulunuyor.

Yeni detay, Klue’un söz konusu kimlik bilgisini kullanımdan kaldırmak için yılları olduğunu sugger ediyor ve şirketin güvenlik durumu ile müşterilerinin verilerinin ihlallerini önlemek için alabileceği önlemleri merak konusu haline getiriyor.

Vancouver merkezli Klue, 12 Haziran’da fark ettiği ve geçen Cuma günü ilk kez duyurduğu ihlal, hackerların LastPass gibi çeşitli müşterilerinin verilerine erişmesini sağladı. Hackerlar, Klue’un sistemlerine erişim sağlayarak, müşterilerinin diğer bulutlarda ve veritabanlarında sakladıkları verilere ulaşan OAuth token’larını kullanarak bu verileri indirdi ve şirketleri zor durumda bıraktı.

Klue sözcüsü Katie Berg, TechCrunch’a yaptığı açıklamada, hackerların müşteri verilerini çalmak için kullandığı kimlik bilgisinin “2022’de, sınırlı bir pilot proje için bir üçüncü tarafa sağlandığını” belirtti.

TechCrunch’ın Klue’a pilotun amacını, ne kadar sürdüğünü veya kimle çalıştığını sorması üzerine cevap verilmedi. Klue ayrıca, pilot projenin sona ermesinin ardından kimlik bilgisinin neden iptal edilmediğine dair de bilgi paylaşmadı.

Klue, olayla ilgili takip e-postalarına reklam öncesinde yanıt vermedi.

Olay hakkında birçok soru mevcutken, şirketin soruşturmasının devam ettiği bildirildi.

Klue, çalınan kimlik bilgisinin ne tür bir veri olduğunu belirtmeden, yalnızca bu bilgilerin “bir entegrasyon hizmetine bağlı eski bir kimlik bilgisi” olduğunu söyledi. Şirket, bu kimlik bilgilerinin bir çalışanın kullanıcı adı ve parolası olup olmadığını veya bu bilgilerin üçüncü bir kişiden mi çalındığını belirlemekte de çekimser kaldı.

Bu detaylar, ihlalin nasıl gerçekleştirildiğini ve benzer olayların nasıl önlenebileceğini anlamak açısından kritik öneme sahip olabilir.

TechCrunch’a yaptığı açıklamada Klue, “kimlik yönetimi, tedarikçi erişim kontrolleri, izleme yetenekleri ve dağıtım güvenlik prosedürleri” üzerine kapsamlı bir inceleme gerçekleştirdiğini belirtti, ancak daha fazla detay paylaşmadı.

Icarus adlı bir hacking grubu, ihlalden sorumlu olduğunu duyurdu ve çalınan verileri yayınlamayacaklarını, ancak fidye ödenmezse verileri yayımlama tehdidinde bulundu.

Klue, hackerlarla iletişim kurup kurmadığını veya taleplerini yerine getirip getirmeyi düşünüp düşünmediğini belirtmedi.

Klue’a yönelik siber saldırı hakkında daha fazla bilgi sahibi misiniz? İhlalden etkilenen bir şirket misiniz? Düşüncelerinizi duymak isteriz. Güvenli bir şekilde Zack Whittaker’a ulaşmak için Signal üzerinden username zackwhittaker.1337 ile iletişim kurabilirsiniz.

Makalelerimizdeki bağlantılar aracılığıyla alışveriş yaptığınızda küçük bir komisyon elde edebiliriz. Bu durum, editoryal bağımsızlığımızı etkilemez.

Red Hat’ın ‘@redhat-cloud-services’ isim alanı altındaki 30’dan fazla npm paketi, geliştirici kimlik bilgilerini çalan yeni bir Shai-Hulud malware varyantı olan “Miasma” ile tehlikeye atıldı. Bu saldırı, güvenlik firmaları Aikido ve OX Security tarafından tespit edildi ve etkileyici bir şekilde yaklaşık 117,000 haftalık indirme alan paketlerin arka kapı ile tehlikeye atıldığı belirlendi.

Saldırı Nasıl Çalışıyor?

Aikido’ya göre, saldırganlar bir Red Hat çalışanının GitHub hesabını ele geçirerek, kötü niyetli değişiklikler eklediler. Bu değişiklikler, GitHub Actions iş akışına entegre edildi ve npm’in yayımlama mekanizmasını kötüye kullanarak arka kapılı paketlerin yayınlanmasını sağladı.

• Yürütme sırasında, sistem önce Bun’ı kurar ve ardından _index.js dosyasını çalıştırır.
• Bu işlem, GitHub’dan kısa süreli bir OIDC tokeni talep eder.
• Token, npm’in güvenilir yayımlama noktasında kimlik doğrulama işlemi için kullanılır.

Etkin paketlerin içindeki kötü niyetli ‘preinstall’ script, geliştiricilerin paketleri kurması durumunda otomatik olarak çalışır. Bu script, GitHub Actions sırları, AWS kimlik bilgileri, Google Cloud kimlik bilgileri gibi kritik verileri çalar.

Etkilenen Sistemler

Aikido, toplamda 32 paket ve 96 paket sürümünün etkilendiğini bildirdi. Bu paketler, @redhat-cloud-services isim alanında bulunan birçok istemci kütüphanesini içeriyor. Bu sistemlere saldırı gerçekleşmişse, organizasyonların derhal şu adımları atması öneriliyor:

• Tüm kimlik bilgilerini, sırları ve token’ları derhal değiştirin.
• Etki altında kalmış olan herhangi bir cihazdaki yazılımı güncelleyin.

Çözüm ve Korunma

Red Hat, olayın başladığı andan itibaren etkilenen paketleri kaldırdığını açıkladı ve bu durumun yalnızca dahili geliştirme araçlarını etkilediğini duyurdu. Şirket, olayın müşterilerin veya iş ortaklarının sistemlerine bir etkisinin olmadığını belirtti. Ancak, kullanılan tüm kimlik bilgilerini değiştirmek hayati önem taşımaktadır.

İlgili CVE kodları ve güncellemeleri takip etmek, korunma stratejileri geliştirmek ve kütüphane bağımlılıklarını düzenli olarak denetlemek, bu tür saldırılara karşı alınabilecek en iyi önlemlerdir.

Sonuç

Eğer bir Red Hat paketi kullanıyorsanız, derhal tüm kimlik bilgilerinizi ve sırlarınızı değiştirmelisiniz. Ayrıca, etkilenen paketlerin en güncel sürümlerine geçiş yapmalı ve sistem güvenliğiniz için gerekli önlemleri almalısınız. Port kapama, izleme ve güncellemeler gibi ek güvenlik stratejileri uygulamak, daha büyük tehditlere karşı korunmanıza yardımcı olacaktır.

Son dönemde yazılım tedarik zincirine gerçekleştirilen bir saldırıda, popüler GitHub Actions iş akışı olan  actions-cool/issues-helper ‘ın kötü niyetli kodlarla ele geçirildiği tespit edildi. Bu durum, saldırganların hassas kimlik bilgilerini toplayıp kendi kontrolündeki bir sunucuya aktarmasını sağladı.

Saldırı Nasıl Çalışıyor?

Saldırganlar, hedef repository’deki  her mevcut etiketi , normal commit geçmişinde görünmeyen sahte bir commit’e yönlendirdi. Bu sahte commit, CI/CD işlemlerinden kimlik bilgilerini çalmak için kullanılan kötü niyetli kodu içeriyor.  StepSecurity  araştırmacısı  Varun Sharma , bu yöntemle kötü niyetli kodun, yalnızca saldırganın kontrol ettiği bir fork’tan referans alarak projeye enjekte edildiğini açıkladı. Böylece standart Pull Request (PR) incelemeleri bypass edilebiliyor ve rasgele kod çalıştırma yeteneği elde ediliyor.

Sahte commit’in çalıştırılması durumunda şu adımlar gerçekleştirilmektedir:

• Bun JavaScript çalışma zamanını runner’a indirir.
• Runner.Worker sürecinin belleğini okuyarak kimlik bilgilerini çıkarır.
• Çalınan verileri iletmek için saldırgan kontrollü bir alan olan “t.m-kosche[.]com” adresine outbound HTTPS çağrısı yapar.

Ayrıca, actions-cool/maintain-one-comment isimli başka bir GitHub eylemine ait 15 etiketin de aynı işlevsellik ile tehlike altında olduğu bildirilmiştir.

Etkilenen Sistemler

Bu saldırı, GitHub’daki mevcut iş akışlarını etkileyerek,  her etiketin  artık kötü niyetli commit’lere yönlendirilmesine yol açmıştır. Dolayısıyla, bu iş akışını versiyon numarasıyla referans alan herhangi bir işlem, bir sonraki çalışmasında kötü niyetli kodu çekmektedir. Ancak, yalnızca bilinen bir iyi commit SHA ile sabitlenmiş iş akışları etkilenmemiştir.

Çözüm ve Korunma

GitHub, saldırı nedeniyle repository erişimini  “GitHub’ın hizmet şartlarının ihlali”  gerekçesiyle devre dışı bırakmıştır. Saldırının Microsoft’a ait olan bu platformu nasıl etkilediği henüz belirlenememiştir. Ayrıca,  t.m-kosche[.]com  alanının son dönemde, @antv ekosistemine yönelik npm paketlerini hedef alan Mini Sha-Hulud kampanyasında gözlemlendiği belirtilmiştir. Bu, iki aktivite kümesinin ilişkili olabileceğini göstermektedir.

Sonuç

Okuyucuların, etkilenen iş akışlarını ve repository’leri güncel tutmaları son derece önemlidir. Eğer  actions-cool/issues-helper  veya benzeri iş akışları kullanıyorsanız, kesinlikle bu tür kodların referans alınıp alınmadığını kontrol edin. Ayrıca, mümkünse ilgili portları kapatın ve yalnızca güvenilir ve bilinen kodları kullanın.

Son dönemde, popüler bir Node.js modülü olan node-ipc’nin yeni sürümlerine zararlı yazılım enjekte edildiği tespit edildi. Bu durum, npm ekosisteminde yaşanan tedarik zinciri saldırılarının tehlikesini bir kez daha gözler önüne seriyor.

Saldırı Nasıl Çalışıyor?

Kötü niyetli yazılım, node-ipc@9.1.6, node-ipc@9.2.3 ve node-ipc@12.0.1 sürümlerinde bulunuyor. Bu zararlı kod, CommonJS giriş noktasında (node-ipc.cjs) gizlenmiş olup, uygulamalar yüklendiğinde otomatik olarak çalışıyor. Yazılım, etkilediği sistemleri parmak izi ile tanımlıyor, ortam değişkenleri ve hassas yerel dosyaları topluyor, bu verileri arşivlemesiyle kompres edip DNS TXT sorguları üzerinden dışarıya sızdırıyor.

Etkilenen Sistemler

Kötü niyetli yazılımla ilgili yapılan incelemelerde, aşağıdaki bilgilere erişildiği tespit edildi:

• Cloud bilgileri (AWS, Azure, GCP, OCI, DigitalOcean vb.)
• SSH anahtarları ve yapılandırmaları
• Kubernetes, Docker, Helm ve Terraform bilgiler
• npm, GitHub, GitLab ve Git CLI tokenları
• .env dosyaları ve veritabanı şifreleri
• Shell geçmişleri ve CI/CD sırları
• macOS Anahtar Zinciri dosyaları ve Linux anahtarlıkları
• macOS’de Firefox profil ve anahtar veritabanı dosyaları
• Microsoft Teams yerel depolama ve IndexedDB yolları

Malware, 4 MiB’den büyük dosyaları atlayarak etkinliğini artırıyor ve işlem gürültüsünü azaltmak için .git ve node_modules dizinlerini taramaktan kaçınıyor.

Çözüm ve Korunma

Zararlı yazılımın dışarı verilmesi için DNS TXT sorguları kullanılması dikkat çeken bir operasyonel özellik. Saldırganlar, sahte bir Azure temalı alan adı kullanarak bilgileri şifreli bir şekilde aktarıyorlar. Kullanıcıların, söz konusu zararlı yazılımları bulaşmış versiyonları hemen kaldırmaları, sızdırılan bilgileri güncellemeleri ve lockfile ile npm önbelleklerini kontrol etmeleri öneriliyor.

Sonuç

Etkilenen geliştiricilerin aşağıdaki adımları derhal atması önemlidir:

• Etki altında olan sürümleri kaldırın: node-ipc@9.1.6, node-ipc@9.2.3, node-ipc@12.0.1.
• İfşa olan gizli anahtarları ve bilgileri dönüştürün.
• Lockfile ve npm önbelleklerini kontrol edin.

Bu tür tedarik zinciri saldırılarına karşı sürekli güncel kalmak ve gerekli önlemleri almak hayati önem taşımaktadır.