Yazılım geliştiriciler için kötü haberler gelmeye devam ediyor. Güvenlik firması Koi Security tarafından yapılan açıklamaya göre, "tarihin en büyük ve en tehlikeli NPM tedarik zinciri güvenlik açığı" olarak tanımlanan bir saldırı kampanyası tespit edildi. Shai-Hulud adı verilen bu malware kampanyası, birden fazla geliştirici tarafından yönetilen yüzlerce paketi etkilemiş durumda. Bu paketler arasında popüler kütüphaneler de bulunuyor.
Sorunun daha da kötüleşmesi bekleniyor çünkü kullanılan malware, paketler arasında otonom olarak yayılan bir solucan türü. Saldırganlar, @ctrl/tinycolor ve diğer NPM paketlerinin zararlı sürümlerini yayınlayarak, kurulum sırasında otomatik olarak çalışan büyük ve şifrelenmiş bir betik eklemişler. Bu betik, geliştirici müdahalesi olmadan zararlı yazılımın ilgili paketler arasında yayılmasını sağlıyor.
Bu kampanya, daha önce milyarlarca indirmeye sahip NPM paketlerinin kripto para çalmak amacıyla ele geçirildiği olaydan farklı. Ancak, her iki olayda da saldırganların hedefinin GitHub tarafından sahiplenilen Node.js ekosistemi için NPM paket kaydı olduğu anlaşılıyor. Shai-Hulud kampanyasının ardındakiler ise sadece Bitcoin'den fazlasını hedefliyor.
Tespit edilen zararlı betik, kimlik bilgisi toplama ve kalıcılık operasyonları gerçekleştiriyor. Yerel dosya sistemlerini ve depolardaki sırları taramak için TruffleHog gibi araçlar kullanıyor. NPM token'ları, GitHub kimlik bilgileri ve bulut erişim anahtarları gibi bilgiler hedefleniyor. Ayrıca, gizli bir GitHub Actions iş akışı dosyası oluşturarak, ilk enfeksiyondan sonra bile uzun süreli erişimi güvence altına alıyor. Uç nokta sırlarının çalınması ve arka kapılar oluşturulması arasındaki bu çift odaklanma, Shai-Hulud'u önceki ihlallerle karşılaştırıldığında en tehlikeli kampanyalardan biri haline getiriyor.
Bu durum, Node.js yazılımı geliştirme ve dağıtma konusunda endişelenmeyenler için kafa karıştırıcı olabilir. Ancak temel olarak Shai-Hulud, geliştirici katılımı olmadan yazılım dağıtımını kolaylaştırmak için tasarlanmış bir ortamda (NPM), bilinen bir saldırı güvenliği aracı ile geliştirici araçlarını kullanıyor.
Daha önceki bir raporumuzda, kripto para çalmak için NPM paketlerini ele geçirenlerin, bu erişimi çok daha kötü saldırılar gerçekleştirmek için kullanabileceklerini belirtmiştik. Şimdi ise tam olarak böyle bir durumun yaşandığı görülüyor. Node.js ekosisteminin ve etrafındaki araçların bu tür yaygın saldırılara zemin hazırlaması, sürpriz olmaktan uzak.
Güvenlik firması, Shai-Hulud kampanyası aracılığıyla ele geçirildiği bilinen NPM paketlerinin bir listesini yayınlamaya devam ediyor. Diğer güvenlik araştırmacıları da, zararlı yazılımın nasıl yayıldığına, ne yaptığına ve etkilenen bir kuruluşun nasıl tepki vermesi gerektiğine dair teknik detaylar ve müdahale göstergeleri yayınlamış durumda.
