Github Pazartesi günü, Shai-hulud saldırısı da dahil olmak üzere NPM ekosistemini hedefleyen bir tedarik zinciri saldırıları dalgasına yanıt olarak “yakın gelecekte” kimlik doğrulama ve yayınlama seçeneklerini “yakın gelecekte” değiştireceğini duyurdu.
Bu, gerekli iki faktörlü kimlik doğrulama (2FA) ile yerel yayınlamaya izin vererek, jeton kötüye kullanımı ve kendi kendini kopyalayan kötü amaçlı yazılımların ortaya koyduğu tehditleri, yedi günlük sınırlı bir ömre sahip olacak granüler belirteçleri ve OpenId Connect (OIDC) kullanarak CI/CD işçilerinden doğrudan CI/CD işçilerinden güvenli bir şekilde yayınlama yeteneğini sağlar.
Güvenilir yayıncılık, NPM jetonlarına olan ihtiyacı ortadan kaldırmanın yanı sıra, her yayını, açıklanamayan veya yeniden kullanılamayan kısa ömürlü, iş akışına özgü kimlik bilgileri kullanarak kimlik doğrulaması yaparak kriptografik güven oluşturur. Daha da önemlisi, NPM CLI, paket için provenans onayları otomatik olarak üretir ve yayınlar.
“Güvenilir yayıncılık yoluyla yayınlanan her paket, kaynağının ve yapı ortamının kriptografik kanıtlarını içeriyor,” GitHub Temmuz 2025’in sonlarında geri döndü.
Bu değişiklikleri desteklemek için, Microsoft’a ait şirket, aşağıdaki adımları yürürlüğe koyacağını söyledi –
- Miras klasik jetonları yoksun.
- Kullanıcıları FIDO tabanlı 2FA’ya taşıyan zamana dayalı bir kerelik şifre (TOTP) 2FA kullanımdan kaldırın.
- Granül jetonlarını yayınlama izinleri ile daha kısa bir son kullanma son kullanma ile sınırlayın.
- Güvenilir yayıncıların veya 2FA’nın zorunlu yerel yayıncılığının kullanımını teşvik ederek, varsayılan olarak belirtilere izin vermeyen jetonlara yayın erişimini ayarlayın.
- Yerel paket yayıncılığı için 2FA’yı atlama seçeneğini kaldırın.
- Güvenilir yayınlar için uygun sağlayıcıları genişletin.
Geliştirme, Shai-Hulud adında bir tedarik zinciri saldırısının, hassas sırlar için geliştirici makinelerini tarayan ve bunları saldırgan kontrollü bir sunucuya ileten yüzlerce NPM paketine kendi kendine kopyalayan bir solucanı enjekte etmesinden bir hafta sonra geliyor.
Github’un Xavier René-Corail, “Kendini kopyalamayı birden fazla sır türünü çalma kabiliyeti ile birleştirerek (ve sadece NPM jetonları değil), bu solucan GitHub ve açık kaynak bakımcılarından zamanında eylem olmasaydı sonsuz bir saldırı akışı sağlayabilirdi.” Dedi.
NPM paketi QR kod tabanlı içerir
Açıklama, yazılım tedarik zinciri güvenlik şirketi soketinin, yeni bir steganografik teknik kullanarak tarayıcı şifrelerini hasat edebilen Fezbox adlı kötü niyetli bir NPM paketi belirlediğini söylediği gibi geliyor. Paket artık NPM’den indirilebilir. İlk olarak 21 Ağustos 2025’te yayınlandığından beri toplam 476 indirme çekti.
“Bu pakette, tehdit oyuncusu (NPM takma adı Janedu; kayıt e -postası janedu0216@gmail[.]Com) Güvenlik Araştırmacısı Olivia Brown, Web çerezlerinden kullanıcı adı ve şifre kimlik bilgilerini çalmak için bir QR kodu içinde bir yük yürütür. “Dedi.
Fezbox, ortak yardımcı işlevlerden oluşan bir JavaScript yardımcı programı olduğunu iddia ediyor. Ancak, gerçekte, uzak bir URL’den bir QR kodu almak, QR kodunu ayrıştırmak ve bu URL içinde bulunan JavaScript yükünü yürütmek için gizli kodu barındırır.
Yükü, belgeyi okumaya çalışır.[.]APP “) bir HTTPS POST isteği aracılığıyla.
Brown, “Çoğu uygulama artık kurabiyelerde gerçek şifreleri saklamıyor, bu nedenle bu kötü amaçlı yazılımın hedefinde ne kadar başarılı olacağını söylemek zor.” “Bununla birlikte, daha fazla gizleme için bir QR kodunun kullanılması, tehdit oyuncusu tarafından yaratıcı bir bükülme. Bu teknik, tehdit aktörlerinin şaşkınlık tekniklerini nasıl geliştirmeye devam ettiğini ve bağımlılıklarınızı kontrol etmek için özel bir araca sahip olmanın neden her zamankinden daha önemli olduğunu gösteriyor.”