NPM’nin ‘Shai-Hulud’ tedarik zinciri saldırılarından sonra devreye soktuğu savunma mekanizmaları, tehdit aktörlerinin Git bağımlılıkları aracılığıyla bunları atlatmasına olanak tanıyan zayıflıklara sahip.
Toplu olarak PackageGate olarak adlandırılan güvenlik açıkları, JavaScript ekosistemindeki pnpm, vlt, Bun ve NPM gibi bağımlılıkların yönetilmesine izin veren birden fazla yardımcı programda keşfedildi.
Uç nokta ve tedarik zinciri güvenliği şirketi Koi’deki araştırmacılar sorunları keşfetti ve bunları satıcılara bildirdi. Davranışın “beklendiği gibi çalıştığını” belirterek raporu kapatan NPM dışındaki tüm araçlarda sorunların giderildiğini söylüyorlar.
Komut dosyası yürütmeyi atlama
Kendi kendine yayılan Shai-Hulud tedarik zinciri saldırısı, ilk olarak Eylül 2025’in ortalarında npm’yi etkiledi ve 187 paketi tehlikeye attı. Bir ay sonra saldırı, 500 paketlik yeni bir dalgayla geri döndü ve daha sonra bu dalganın otomatik olarak oluşturulan 30.000’den fazla GitHub deposundaki 400.000 geliştirici sırrını açığa çıkardığı değerlendirildi.
Shai-Hulud saldırılarına ve “s1ngularity” ve “GhostAction” gibi diğer tedarik zinciri olaylarına yanıt olarak NPM operatörü GitHub, ek güvenlik önlemleri uygulamaya yönelik bir plan duyurdu ve çeşitli hafifletme önerileri önerdi.
Bunların arasında kurulum sırasında yaşam döngüsü komut dosyalarının devre dışı bırakılmasına (‘–ignore-scripts=true’) ve kilit dosyası bütünlüğünün ve bağımlılık sabitlemesinin etkinleştirilmesine yönelik öneriler yer alır.
Koi güvenlik araştırmacıları, NPM bir Git deposundan bir bağımlılık yüklediğinde, kötü amaçlı ‘.npmrc’ gibi yapılandırma dosyalarının git ikili yolunu geçersiz kılabildiğini ve ‘—ignore-scripts’ bayrağı ‘true’ olarak ayarlandığında bile tam kod yürütülmesine yol açabildiğini buldu.
Araştırmacılar, sorunun sadece teorik olmadığının altını çizerek, “Aktörlerin geçmişte ters kabuk oluşturmak için bu tekniği kötüye kullanan bir kavram kanıtı yayınladıklarına dair kanıtlarımız var” diye uyardı.
Diğer JavaScript paket yöneticileri için, komut dosyası yürütme güvenlik önleminin atlanması ayrı mekanizmalar aracılığıyla gerçekleştirilir; ayrıca pnpm ve vlt için kilit dosyası bütünlüğünün atlanması da mümkündür.
Bun, kendisini etkileyen kusurları 1.3.5 sürümünde yamaladı, vlt, Koi’nin iletişime geçmesinden birkaç gün sonra yama yaptı ve pnpm, CVE-2025-69263 ve CVE-2025-69264 kapsamında takip edilen iki kusur için düzeltmeler yayınladı.
NPM’nin yanıtı
Koi Security bulgularını NPM’nin HackerOne’ına gönderilen bir güvenlik açığı raporunda sundu; çünkü hata ödülü kapsamı açıkça ‘—ignore-scripts’ ile komut dosyası yürütmeyi kapsıyor.
Buna rağmen npm, kullanıcıların yükledikleri paketlerin içeriğini incelemekten sorumlu olduğu gerekçesiyle raporu reddetti ve araştırmacıların yaptığı çok sayıda takip çabasına yanıt vermedi.
BleepingComputer, konuyla ilgili bir açıklama yapmak için GitHub ile temasa geçti ve bir sözcü, npm’nin aktif olarak kayıt defterini kötü amaçlı yazılımlara karşı taradığı için sorunu çözmek için çalıştıklarını söyledi.
GitHub sözcüsü BleepingComputer’a şunları söyledi: “NPM ekosisteminin güvenliği kolektif bir çabadır ve projeleri, yazılım tedarik zincirini güçlendirmek için zorunlu iki faktörlü kimlik doğrulamayla birlikte güvenilir yayınlama ve ayrıntılı erişim belirteçlerini benimsemeye şiddetle teşvik ediyoruz.”
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.