Sha1-Hulud tedarik zinciri kötü amaçlı yazılımının büyük bir yeniden canlanması, saldırganların “İkinci Geliş” olarak adlandırdığı bir kampanyada 800 npm’den fazla paketi ve on binlerce GitHub deposunu tehlikeye atarak açık kaynak ekosistemini vurdu.
Bu karmaşık dalga, AsyncAPI, Postman, PostHog, Zapier ve ENS gibi büyük kuruluşların yüksek profilli bağımlılıklarını hedef alıyor ve aylık tahmini 132 milyon indirmeyi etkiliyor.
Saldırı, geleneksel algılama yöntemlerini atlamak için Bun çalışma zamanı ortamından yararlanıyor ve kurban verilerini silebilecek yıkıcı bir geri dönüş mekanizması sunuyor.
Bu varyanttaki en endişe verici gelişme, agresif oynaklığıdır. Birincil hedef kimlik bilgileri hırsızlığı olmaya devam etse de, kötü amaçlı yazılım, kalıcılık sağlayamadığında veya veri sızdıramadığında tetiklenen, yıkıcı bir güvenlik önlemi içerir.
Kötü amaçlı yazılım GitHub’da kimlik doğrulaması yapamazsa, bir depo oluşturamazsa, GitHub belirteci getiremezse veya bir NPM belirteci bulamazsa bir temizleme rutini yürütür.
Sha1-Hulud Tedarik Zinciri Saldırısı
Bu mantık, mevcut kullanıcının sahip olduğu tüm yazılabilir dosyaları silerek kurbanın ana dizininin tamamını yok etmeye çalışır. Bu değişim, Sha1-Hulud’un kimlik bilgilerini çalamaması veya bir sızıntı kanalını güvence altına alamaması halinde, kanıtları ortadan kaldırmak veya kesintiye neden olmak için varsayılan olarak yıkıcı veri imhasına yöneleceğini gösteriyor.
İlk olarak Aikido Security tarafından gözlemlenen saldırı zinciri, bun_environment.js’de bulunan temel kötü amaçlı yükü yürütmek için Bun çalışma zamanını yükleyen setup_bun.js adlı bir dosyayla başlar. Bu yöntem, kötü amaçlı yazılımın standart Node.js yürütme yolunun dışında çalışmasına ve genellikle statik analiz araçlarından kaçmasına olanak tanır.
Solucan aktif hale geldiğinde, etkilenen ortamı API anahtarları ve belirteçleri açısından taramak için TruffleHog’u kullanıyor. Sabit kodlanmış depo adlarını kullanan önceki sürümlerin aksine, bu yineleme, çalınan sırları depolamak için rastgele adlandırılmış GitHub depoları oluşturur.
Bu depolar “Sha1-Hulud: İkinci Geliş” tanımıyla tanımlanıyor ve güvenlik araştırmacıları şu anda yaklaşık 26.300 açıkta kalan depoyu tanımlıyor.
Koi Security’nin kurucu ortağı ve CTO’su Idan Dartikman, taktiklerdeki artışa dikkat çekti. Dartikman, “Bu dalga daha büyük, daha hızlı yayılıyor ve öncekinden daha şiddetli” dedi. “NPM’de de büyük bir güvenlik değişikliği geliyor ve tehdit aktörünün bundan önce mümkün olduğu kadar çok sayıda kurbana virüs bulaştırmak için hızlı çalışmış olması çok muhtemel.”
Bu kampanyanın zamanlaması, npm’nin 9 Aralık 2025’te klasik tokenleri planladığı iptalinden önce hesaplanmış görünüyor. Bu güvenlik ihlali, AsyncAPI ve Postman ekosistemlerinin önemli bölümleri de dahil olmak üzere kritik altyapı yazılımlarını etkiledi.
Güvenlik ekiplerine, belirli dosya göstergelerine yönelik bağımlılıkları derhal denetlemeleri ve CI/CD ortamlarında açığa çıkan tüm kimlik bilgilerini döndürmeleri tavsiye edilir.
| Mağdur Organizasyonu | Etkilenen Kapsam/Paket Örnekleri | Tahmini Etki |
|---|---|---|
| AsyncAPI | @asyncapi/cli,@asyncapi/generator,asyncapi-preview | Olay odaklı mimariler için kullanılan kritik geliştirme araçları. |
| PostDomuz | @posthog/cli,@posthog/node,posthog-js | Analitik veri alımı ve eklenti altyapısı. |
| Postacı | @postacı/koleksiyon-çatal,@postacı/tünel-acentesi | API geliştirme ve test yardımcı programları. |
| Zapier | @zapier/zapier-sdk,zapier-platform-core | Entegrasyon ve otomasyon SDK’ları. |
| ENS Alan Adları | @ensdomains/ensjs,@ensdomains/thorin | Ethereum Name Service ön uç ve sözleşme etkileşimleri. |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
