Microsoft, son aylarda gözlemlenen en önemli bulut tabanlı ekosistem ihlallerinden biri olan Shai-Hulud 2.0 tedarik zinciri saldırısına yönelik kapsamlı bir kılavuz yayınladı.
Kampanya, hassas kimlik bilgilerini ve yapılandırma sırlarını toplamak için geliştirici ortamlarını, CI/CD işlem hatlarını ve buluta bağlı iş yüklerini hedef alarak modern yazılım geliştirme iş akışlarının doğasında var olan güveni istismar eden karmaşık bir tehdidi temsil ediyor.
Shai-Hulud 2.0 kampanyası daha önceki tedarik zinciri uzlaşmalarına dayanıyor. Ancak otomasyon, yayılma hızı ve hedefleme genişliğinde endişe verici gelişmeler sunuyor.
Tehdit aktörleri, yüzlerce npm paketinin ön yükleme aşaması aracılığıyla kötü amaçlı kod enjekte etti; bu teknik, tehditleri tespit edebilecek testler veya güvenlik kontrollerinden önce yürütülen bir tekniktir.
Özellikle endişe verici olan, Zapier, PostHog ve Postman gibi yaygın olarak kullanılan projelerin bakımcı hesaplarının tehlikeye atılması, saldırganların güvenilir geliştirme altyapısına sızma yeteneğini ortaya koyuyor.
Çalınan kimlik bilgileri daha sonra saldırganların kontrolündeki halka açık depolara sızdırılarak daha fazla tehlikeye atılacak risk vektörleri oluşturulur.
Shai-Hulud 2.0 Saldırı Çalışmaları
Saldırı mekanizması, package.json dosyalarına gömülü set_bun.js adlı bir ön kurulum betiği aracılığıyla npm paketinin manipülasyonundan yararlanır.
Bu komut dosyası çalıştırıldığında, mevcut bir Bun çalışma zamanı ikili dosyasını, Node.js’ye benzer alternatif bir JavaScript çalışma zamanını kontrol eder ve yoksa onu yükler.
Bun çalışma zamanı daha sonra GitHub Actions Runner arşivini indirip yükleyen paket halindeki kötü amaçlı kodu (bun_environment.js) çalıştırarak SHA1HULUD adlı bir koşucu aracısıyla yeni bir GitHub deposu oluşturur.
Arşivlenen dosyalar, bir kimlik bilgisi tarama aracı olan TruffleHog’u ve depolanan kimlik bilgileri için sistemleri sorgulamak ve bulut kimlik bilgilerini almak için kullanılan Runner.Listener yürütülebilir dosyalarını içerir.
Microsoft Defender, gizli dosyalarda parçalama komutunun şüpheli kullanımı ve özel Sha1-Hulud Kampanyası Algılandı uyarısı da dahil olmak üzere birden fazla uyarı aracılığıyla kampanyayı erken tespit etti.
Özellikle, yeni oluşturulan veri havuzlarına yönelik bazı taahhütlerin “Linus Torvalds” adı altında yazılması, saldırganların faaliyetlerini gizlemek için sahte kişileri nasıl kullandıklarını ortaya koyuyor ve geliştirme ortamları için taahhüt imzası doğrulamasının öneminin altını çiziyor.
Microsoft Defender, bu riski anında azaltmak için kuruluşların Key Vault varlıklarını yetkisiz erişim açısından incelemesini, açığa çıkan kimlik bilgilerini hızla döndürüp iptal etmesini, etkilenen CI/CD aracılarını veya çalışma alanlarını izole etmesini ve daha fazla maruz kalmayı azaltmak için yüksek riskli saldırı yollarına öncelik vermesini önerir.
Kuruluşlar ayrıca Key Vault erişim denetimlerine özellikle dikkat ederek CI/CD işlem hatlarına atanan kimliklerden gereksiz rolleri ve izinleri kaldırmalıdır.
Microsoft, özellikle npm bakımcıları için geleneksel belirteçler yerine güvenilir yayınlamanın uygulanmasını, tüm yazma ve yayınlama eylemleri için iki faktörlü kimlik doğrulama gerektirecek şekilde yayınlama ayarlarının güçlendirilmesini ve 2FA yapılandırması için zamana dayalı tek seferlik parolalar yerine WebAuthn’un tercih edilmesini önerir.
Ayrıca Microsoft Defender Antivirus’te bulut üzerinden koruma ve otomatik örnek gönderiminin etkinleştirilmesi ve saldırı yüzeyi azaltma kuralları, yeni ortaya çıkan tehditlere karşı kritik koruma sağlar.
Azaltmalar
Microsoft Defender XDR müşterileri, güvenlik ihlali göstergelerini belirlemek için özelleştirilmiş arama sorgularının yanı sıra uç noktalar, kimlikler, e-posta ve uygulamalar genelinde algılama kapsamına erişim elde eder.
Microsoft Security Copilot entegrasyonu, bu tehdide özel otomatik olay müdahalesi ve araştırma iş akışlarına olanak tanır.
Bulut için Microsoft Defender kullanan kuruluşlar için DevOps ortamlarını Azure DevOps, GitHub veya GitLab entegrasyonları aracılığıyla bağlamak, tedarik zinciri olaylarını araştırmak için gerekli olan kod deposu eşleme yeteneklerini sağlar.
Shai-Hulud 2.0 kampanyası, geleneksel ağ savunmalarının, güvenilir paket iş akışlarına yerleştirilmiş saldırılara karşı neden yetersiz kaldığını gösteriyor.
Kod güvenliğini, duruş yönetimini ve uç nokta davranışı, kapsayıcı etkinlikleri ve çalışma zamanı anormallikleri genelinde telemetriyi ilişkilendiren çalışma zamanı korumasını birleştiren katmanlı derinlemesine savunma yaklaşımı, güvenlik ekiplerinin güvenliği ihlal edilmiş cihazları hızlı bir şekilde tanımlamasına, şüpheli paketleri işaretlemesine ve yayılma gerçekleşmeden tehditleri kontrol altına almasına olanak tanır.
Kuruluşlar, npm paket bağımlılıklarını derhal değerlendirmeli ve önerilen güçlendirme önlemlerini uygulamalıdır.
Uzlaşma göstergeleri
| Gösterge | Tip | Tanım | İlk görülme | Son görülme |
|---|---|---|---|---|
| setup_bun.js | Dosya adı | Bun çalışma zamanını yükleyen kötü amaçlı komut dosyası | 24 Kasım 2025 | 1 Aralık 2025 |
| bun_environment.js | Dosya adı | Kimlik bilgilerinin toplanmasını ve dışarı sızmasını kolaylaştıran komut dosyası | 24 Kasım 2025 | 1 Aralık 2025 |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.