Son yüksek profilli tedarik zinciri saldırıları, paket kayıt defteri güvenliğindeki kritik zayıflıkları ortaya çıkardı ve Github’u NPM ekosistemini sertleştirmek için tasarlanmış bir dizi savunma paketi sunmaya itti.
“GitHub, NPM’nin sıkı kimlik doğrulama, granüler jetonlar ve güvenilir yayıncılıkla güvenliğini artırır”, açık kaynağı hesap devralmalarına ve kötü niyetli yükleme sonrası yüklere karşı savunmada en son kilometre taşını işaret ediyor.
Hesap devralma ve yükleme sonrası kötü amaçlı yazılım
Eylül 2025’in ortalarında, NPM kayıt defteri, kötü niyetli JavaScript’i yaygın olarak kullanılan paketlere enjekte etmek için tehlikeye atılmış koruyucu kimlik bilgilerini kaldıran kendi kendini kopyalayan bir solucan olan Shai-hulud saldırısı ile sarsıldı.
Solucan, çevre değişkenlerini ve API sırlarını açıklayan komut dosyalarını yerleştirerek, binlerce geliştirici makinesinde kalıcı bir arka kapı yaratmakla tehdit etti.
Saldırganlar, belirteçleri ve kimlik bilgilerini hasat etmek için gizlenmiş PowerShell tek gömlekleri ve haydut komut dosyası etiketlerini içeren uzlaşma göstergelerini (IOC’ler) konuşlandırdılar.
500’den fazla enfekte modül 24 saat içinde yayınlanmadı ve NPM, solucanın IOC’lerini içeren yüklemeleri bloke etti.
Bu ihlal, kötü niyetli aktörlerin zayıf kimlik doğrulamasını ve aşırı izin veren jetonları nasıl kullandıklarını vurgulamaktadır. Çok faktörlü uygulama veya kapsamlı jetonlar olmadan, tek bir çalınan klasik jeton, artan ayrıcalıkları, kötü amaçlı yazılım dağıtmak veya kritik projelere daha derinlemesine döndürmek için bir dayanak haline gelebilir.
Uzlaşmayı önlemek için güvenlik önlemleri
Token kötüye kullanımına karşı koymak ve gelecekteki tedarik zinciri uzlaşmasını önlemek için Github üç temel önlem getiriyor:
Katı kimlik doğrulama
Tüm NPM yayın işlemleri, FIDO2/WebAuthn kullanarak zorunlu iki faktörlü kimlik doğrulama (2FA) gerektirecektir. Eski zaman tabanlı bir kerelik şifre (TOTP) yöntemi, paylaşılan tohum değerleri veya SMS geri dönüşü ile ilişkili güvenlik açıklarını ortadan kaldırarak kullanımdan kaldırılacaktır.
Granüler jetonlar
Geliştiriciler, kapsamlı izinlerle kısa ömürlü granüler erişim belirteçleri üreteceklerdir.
Klasik jetonlar tamamen kullanımdan kaldırılacak ve sınırsız kapsamlı kimlik bilgilerinin süresiz olarak devam etme riskini ortadan kaldıracak.
Güvenilir Yayıncılık
OpenSSF’nin güvenilir yayıncılarının spesifikasyonundan yararlanan bakımcılar, paket yayınını OIDC aracılığıyla yerleşik kimlik sağlayıcılarına bağlayabilir.
Bu, API jetonlarını CI/CD boru hatlarına gömme ihtiyacını ortadan kaldırarak yapı işlemleri sırasında pozlamayı azaltır.
Ek önlemler arasında yerel yayıncılık için jeton baypasının devre dışı bırakılması, desteklenen kimlik sağlayıcılarının kadrosunun genişletilmesi ve bu değişiklikleri sorunsuz bir şekilde entegre etmek için göç kılavuzlarının yayınlanması yer alıyor.
Github, yapılandırılabilir icra pencerelerine sahip aşamalı bir sunum planlayarak kuruluşların CI iş akışlarını uyarlamasına ve otomasyon komut dosyalarını bozulmadan güncellemelerine olanak tanır.
Açık kaynak ekosistem ölçeklendikçe, güvenlik toplu bir sorumluluk olmaya devam etmektedir. FIDO2 tabanlı 2FA’yı benimseyerek, ayrıntılı belirteçlere göç ederek ve güvenilir yayıncılığı benimseyerek, NPM koruyucular tedarik zinciri tehditleri için saldırı yüzeyini büyük ölçüde azaltabilir.
Bu geliştirmeler sadece bireysel projeleri korumakla kalmaz, aynı zamanda yazılım endüstrisinin temel altyapısının bütünlüğünü de güçlendirir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
