Siber güvenlik araştırmacıları, geçen ay gözlemlenen önceki dalgaya göre hafif değişikliklerle npm kayıtlarında yeni bir Shai Hulud türü gibi görünen şeyin ayrıntılarını açıkladılar.
Yeni Shai Hulud türünü içeren npm paketi “@vietmoney/react-big-calendar”dır ve bu paket, “hoquocdat” adlı bir kullanıcı tarafından Mart 2021’de npm’ye yüklenmiştir. İlk kez 28 Aralık 2025’te 0.26.2 sürümüne güncellendi. Paket ilk yayımlanmasından bu yana 698 kez indirildi. En son sürüm 197 kez indirildi.
Paketi tespit eden Aikido, paketin yayınlanmasının ardından herhangi bir büyük yayılma veya enfeksiyon tespit etmediğini söyledi.
Güvenlik araştırmacısı Charlie Eriksen, “Bu, saldırganların yüklerini test ederken yakalanmış olabileceğimizi gösteriyor” dedi. “Koddaki farklılıklar, bunun orijinal kaynaktan gizlendiğini, yerinde değiştirilmediğini gösteriyor. Bu, kopya olma ihtimalini oldukça düşük kılıyor, ancak solucanın orijinal kaynak koduna erişimi olan biri tarafından yapıldı.”
Shai-Hulud saldırısı ilk olarak Eylül 2025’te, API anahtarları, bulut kimlik bilgileri, npm ve GitHub belirteçleri gibi hassas verileri çalan ve çalınan belirteçleri kullanarak bunları GitHub depolarına sızdıran truva atı haline getirilmiş npm paketlerinin bulunmasıyla ortaya çıktı. Kasım 2025’te tespit edilen ikinci dalgada, depolarda “Şa1-Hulud: İkinci Geliş” açıklaması yer alıyordu.
Ancak kampanyanın en önemli yönü, geliştiriciyle ilişkili en çok indirilen diğer 100 paketi getirmek, aynı kötü amaçlı değişiklikleri uygulamak ve bunları npm’ye itmek, böylece tedarik zinciri uzlaşmasının ölçeğini solucan benzeri bir şekilde genişletmek için npm tokenlerini silah haline getirme yeteneğidir.
Yeni tür gözle görülür değişikliklerle birlikte geliyor –
- İlk dosya artık “bun_installer.js” olarak adlandırılıyor ve ana yük “environment_source.js” olarak adlandırılıyor
- Sırların sızdırıldığı GitHub depolarında “Goldox-T3chs: Sadece Mutlu Kız” açıklaması yer alıyor.
- Sırları içeren dosyaların adları şunlardır: 3nvir0nm3nt.json, cl0vd.json, c9nt3nts.json, pigS3cr3ts.json ve actionsSecrets.json
Diğer önemli değişiklikler arasında TruffleHog’un kimlik bilgisi tarayıcısı zaman aşımına uğradığında daha iyi hata yönetimi, işletim sistemi tabanlı paket yayınlamanın iyileştirilmesi ve verilerin toplanma ve kaydedilme sırasına göre yapılan ayarlamalar yer alıyor.
Sahte Jackson JSON Maven Paketi Cobalt Strike Beacon’ı Düşürüyor
Bu gelişme, tedarik zinciri güvenlik şirketinin Maven Central’da yasal bir Jackson JSON kitaplığı uzantısı (“com.fasterxml.jackson.core”) gibi görünen, ancak platforma özel yürütülebilir dosyalar sağlayan çok aşamalı bir saldırı zinciri içeren kötü amaçlı bir paket (“org.fasterxml.jackson.core/jackson-databind”) tespit ettiğini açıklamasının ardından gerçekleşti. Paket daha sonra kaldırıldı.
Java Arşivi (JAR) dosyasında, şüphelenmeyen bir geliştirici, kötü amaçlı bağımlılığı “pom.xml” dosyasına eklediğinde harekete geçen, oldukça karmaşık bir kod bulunur.
Eriksen, “Spring Boot uygulaması başladığında Spring, @Configuration sınıflarını tarar ve JacksonSpringAutoConfiguration’ı bulur” dedi. “@ConditionalOnClass({ApplicationRunner.class}) denetimi başarılı olur (ApplicationRunner her zaman Spring Boot’ta bulunur), dolayısıyla Spring, sınıfı bir fasulye olarak kaydeder. Kötü amaçlı yazılımın ApplicationRunner’ı, uygulama bağlamı yüklendikten sonra otomatik olarak çağrılır. Açık çağrılara gerek yoktur.”
Kötü amaçlı yazılım daha sonra çalışma dizininde “.idea.pid” adlı bir dosyayı arar. Dosya adının seçimi kasıtlıdır ve IntelliJ IDEA proje dosyalarıyla uyum sağlayacak şekilde tasarlanmıştır. Böyle bir dosyanın mevcut olması, kötü amaçlı yazılıma, kendisinin bir örneğinin zaten çalışmakta olduğunu ve sessizce çıkmasına neden olduğunu gösteren bir sinyaldir.
Bir sonraki adımda, kötü amaçlı yazılım işletim sistemini kontrol etmeye ve harici bir sunucuyla (“m.fasterxml) bağlantı kurmaya devam ediyor[.]org:51211”), işletim sistemine bağlı olarak indirilecek bir veri yüküne URL’ler içeren şifreli bir yanıt getirmek için kullanılır. Yük, bir Cobalt Strike işaretçisidir, sömürü sonrası ve komuta ve kontrol için kötüye kullanılabilecek meşru bir düşman simülasyon aracıdır.
Windows’ta “103.127.243” adresinden “svchosts.exe” adlı dosyayı indirip çalıştıracak şekilde yapılandırılmıştır.[.]82:8000″, Apple macOS sistemleri için ise aynı sunucudan “güncelleme” olarak adlandırılan bir veri indirilir.
Daha ileri analizler, yazım hatası yapılan alanın daha hızlıxml olduğunu ortaya çıkardı[.]org, kötü amaçlı Maven paketinin tespit edilmesinden yalnızca bir hafta önce, 17 Aralık 2025’te GoDaddy aracılığıyla kaydedildi.
Eriksen, “Bu saldırı belirli bir kör noktadan yararlandı: Java’nın ters etki alanı ad alanı kuralındaki TLD tarzı önek değişimleri” dedi. “Meşru Jackson kütüphanesi com.fasterxml.jackson.core’u kullanırken, kötü amaçlı paket org.fasterxml.jackson.core’u kullanıyor.”
Aikido, sorunun, Maven Central’ın, geliştiricileri indirmeleri konusunda kandırmak için meşru muadilleriyle benzer önekleri kullanan taklit paketleri tespit edememesinden kaynaklandığını söyledi. Ayrıca paket deposu yöneticilerinin, yüksek değerli ad alanlarının bir listesini tutmayı düşünmeleri ve benzer görünen ad alanları altında yayınlanan herhangi bir paketi, meşru olduklarından emin olmak için ek doğrulamaya tabi tutmaları önerilir.