Resmi Red Hat NPM hesaplarının ele geçirildiği ve makineden makineye yayılan, hassas kimlik bilgilerini çalan zararlı bir solucan dağıtıldığı bildirildi. Güvenlik araştırmacıları, bu solucanın daha da fazla gizli veriyi çalmayı hedeflediğini belirtti.
Güvenlik firması Aikido tarafından yapılan açıklamaya göre, tedarik zinciri saldırısı Pazartesi günü başladı ve haberin yayına girdiği an itibarıyla hala aktif durumdaydı. Saldırıyı gerçekleştiren kötü niyetli aktör, npm kayıt defterindeki resmi Red Hat paketleri için kullanılan ve geliştiriciler tarafından büyük güven duyulan @redhat-cloud-services adlı meşru kanalı ele geçirmeyi başarmış.
Günümüz Tedarik Zinciri Saldırılarının Kısır Döngüsü
Tehdit aktörünün bu isim alanını tam olarak nasıl kontrol altına aldığı belirsizliğini koruyor. Ancak, muhtemelen önceki bir tedarik zinciri saldırısı yoluyla erişim için gereken kimlik bilgilerinin ele geçirilmesiyle gerçekleştiği düşünülüyor. Saldırıdan 30'dan fazla paketin etkilendiği anlaşılıyor.
Etkilenen paketler, geliştiricinin paketi üretim ortamına dahil etmeden veya kullanmadan hemen önce gerçekleşen npm install işlemi sırasında çalıştırılabilen, gizlenmiş bir zararlı kod içeriyor. Güvenlik firması Socket'in analizine göre, kötü amaçlı yazılımın GitHub Actions gizli bilgileri, npm belirteçleri, Kubernetes ve Vault materyalleri ile diğer bulut hizmetlerinin kimlik bilgileri gibi hassas verileri toplamak üzere tasarlandığı ortaya çıktı. Solucan, bulaştığı cihazın erişimi olan üçüncü taraf hesaplara zararlı paketleri yeniden yayınlayarak yayılmaya devam ediyor. Etkilenen paketlerin büyük çoğunluğu olayın ardından saatler içinde kaldırılmıştı.
Socket araştırmacıları, "Kuruluşlar, etkilenen @redhat-cloud-services paket sürümlerinden herhangi birini yükleyen herhangi bir sistemi potansiyel olarak tehlike altında olarak değerlendirmelidir" uyarısında bulundu. "Zararlı kod, uygulama kodu paketi dahil etmeden veya kullanmadan önce npm yüklemesi sırasında çalışır, bu nedenle maruz kalma çalışma zamanı kullanımına değil, yüklemeye veya CI (Sürekli Entegrasyon) yürütülmesine bağlıdır."
Bir sistem enfekte olduğunda, kimlik bilgileri şifrelenir ve bir web isteği aracılığıyla gönderilir. Yedek bir mekanizma, kötü amaçlı yazılımın, ilgili hesap bilgilerine sahip olduğu varsayılarak şifrelenmiş verileri ele geçirilmiş bir GitHub deposuna yayınlamasına olanak tanıyor.
Shai-Hulud adı verilen solucan, geçtiğimiz ay ücretsiz açık kaynak olarak yayınlanan kötü amaçlı yazılımların tüm özelliklerini taşıyor. TeamPCP adlı grup, Shai-Hulud'u ilk kullanan ve bu zararlı yazılımla en büyük tedarik zinciri saldırısını gerçekleştiren hacker'a 1.000 dolarlık ödül vaat eden bir yarışma düzenlemişti. TeamPCP, geçtiğimiz aylarda yaşanan ve İran merkezli makineleri silen birçok tedarik zinciri saldırısının da arkasındaydı. Şimdi bu solucanın birçok farklı tehdit grubunun eline geçmesiyle, tedarik zinciri saldırılarının daha da artması bekleniyor.
Kötü amaçlı yazılım, daha hızlı ve güvenilir yazılım sürümleri sağlamak için kod değişikliklerinin derlenmesini, test edilmesini ve dağıtılmasını otomatikleştiren CI/CD (Sürekli Entegrasyon/Sürekli Teslimat) sistemlerine önemli ölçüde odaklanıyor. Pazartesi günkü saldırıda yayılan kötü amaçlı yazılımın GitHub Actions OIDC (OpenID Connect) aracılığıyla yayınlanmış olması, Red Hat'in CI/CD hattının tehlikeye girdiğini gösteriyor. OIDC, geçici kimlik bilgileri kullanarak bulut hizmetleriyle etkileşim kurmak için tasarlanmış bir güvenlik önlemi.
Yüklendikten sonra, kötü amaçlı yazılım diğer kuruluşların CI/CD kimlik bilgilerini hedef alıyor. Red Hat'in GitHub Actions OIDC'sinin ele geçirilmesi, büyük olasılıkla bir çalışanın makinesini etkileyen önceki bir tedarik zinciri saldırısının sonucu.
Haberin yayınlanmasından sonra gönderilen bir e-postada Red Hat, kötü amaçlı paketlerin kaldırıldığını belirtti.
E-postada, "Paketler yalnızca dahili geliştirmeyle sınırlıydı ve kötü amaçlı kod asla console.redhat.com sistemi aracılığıyla müşterilerin kullanımına sunulmadı. Soruşturmamız devam ederken, müşteri veya iş ortağı ortamları ya da Red Hat üretim sistemleri üzerinde herhangi bir etki tespit etmedik" denildi.
Son zamanlardaki diğer başarılı tedarik zinciri saldırılarının göz önüne alındığında, son 36 saat içinde etkilenen paketlerden herhangi biriyle temas kurmuş olan herkesin iş istasyonlarının, CI/CD hatlarının ve tüm bulut hizmetleri ile depolama alanlarının kimlik bilgilerinin tehlikeye girdiğini varsayması gerekiyor. Bu, çalışanların mevcut işlerini bırakıp kapsamlı bir araştırma yapmaları gerektiği anlamına geliyor.
Güvenlik firması Checkmarx'ı etkileyen son bir tedarik zinciri saldırısında, firmanın saldırganı tam olarak bertaraf edemediği ve ardından iki kez daha hedef alındığı görüldü. İlk saldırıda kullanılan Checkmarx kimlik bilgileri, Trivy yazılım geliştiricisine yönelik bir tedarik zinciri saldırısından elde edilmişti. Checkmarx'a geçiş ve ilk ihlali tamamen gidermedeki başarısızlık, bu tür güvenlik hatalarından tam olarak kurtulmanın zorluğunu ve bunun sonucunda ortaya çıkan riskleri gösteriyor.
Hem Socket hem de Aikido, etkilenen Red Hat paketlerinin listelerini ve potansiyel olarak etkilenen kişi veya kuruluşların derhal kullanması gereken diğer ihlal göstergelerini paylaşıyor.
Haber, Red Hat'in yorumunu eklemek üzere güncellenmiştir.
