ReversingLabs, NPM açık kaynak kayıt defterinde kendi kendini kopyalayan bir bilgisayar solucanı olan “Shai-hulud” ı keşfeder. Kötü amaçlı yazılımın geliştirici sırlarını nasıl çaldığını, özel kodu ortaya çıkardığını ve NGX-Bootstrap ve @Ctrl/TinyColor gibi popüler paketlerden nasıl yayıldığını öğrenin.
Shai-hulud adlı yeni ve tehlikeli kendi kendini kopyalayan bilgisayar solucanı, Düğüm Paketi Yöneticisi (NPM) açık kaynak kayıt defterinde (geliştiricilerin JavaScript kodunu paylaştığı ve kullandığı büyük bir kütüphane) keşfedildi.
Bulgularını hackread.com ile paylaşan güvenlik firması ReversingLabs (RL), 15 Eylül’de solucanı belirledi ve bunun platformda ilk kez bu tür bir solucan bulunduğunu iddia etti. Shai-hulud adı, kötü niyetli kodun kendi deposundan geliyor ve popüler bilim kurgu dizisi “Dune” dan dev kum kurdu.
Shai-hulud, bir geliştiricinin NPM hesabını ele geçirerek ve geliştiricinin yönettiği genel ve özel kod paketlerine gizlice zararlı kod ekleyerek yayılır. Bir paket enfekte olduktan sonra, solucanı indiren ve kullanan herkese yayabilir.
Bu, özellikle tehlikeli hale getirir, çünkü birçok yazılım projesi NPM ağındaki paketlere dayanır. Tek bir uzlaşmış paket, geniş bir diğer proje ağını hızlı bir şekilde enfekte edebilir.
Yaygın bir saldırı
İlk uzlaşmış paket olan RXNT-OneThentication 14 Eylül’de enfekte edildi ve bu nedenle, koruyucu TechSupportrxnt, bu kampanya için hasta sıfır olarak kabul ediliyor. Bu, bir enfeksiyonun kaynağı olarak tanımlanan ilk kişiyi/sistemi tanımlamak için kullanılan bir terimdir.
RL araştırma ekibi sorunu izlemeye devam ettikçe, bazıları çok popüler olan ve milyonlarca haftalık indirme ile yüzlerce NPM paketi zaten tehlikeye atıldı. Örneğin, solucan haftalık 300.000 indirme olan NGX-Bootstrap’ı ve @Ctrl/TinyColor’u haftalık 2,2 milyon indirme ile enfekte etti ve bunu yüksek etkili bir güvenlik ihlali haline getirdi.
Solucan ne yapar
Shai-hulud solucanı bulut hizmeti jetonları ve özel kod gibi önemli bilgileri çalıyor. Özellikle NPM, GitHub, AWS ve GCP (Google Cloud Platform) gibi hizmetler için anahtarları hedefler. Araştırma ayrıca solucanın, 800’den fazla farklı sır türünü tespit edebilen Trufflehog adlı bir araç kurduğunu ortaya koyuyor.
Ayrıca, GitHub Public’te bir kullanıcının özel kod kütüphanelerini yapabilir. Bu “taşınan” depolar için yakın zamanda yapılan bir arama, büyük miktarda tescilli kod ortaya çıkararak 700’e yakın sonuç verdi.
Saldırının kesin ilk nedeni bilinmemekle birlikte, tersine çevreleme, yöntemlerinin Ağustos ayında önceki bir kampanyaya benzer olduğunu, saldırganların sosyal mühendislik kullanmış olabileceğini veya geliştirici araçlarında sömürülen güvenlik açıklarını gösterdiğini belirtiyor.
ReversingLabs mümkün olduğunca çok sayıda etkilenen geliştiriciye ulaşıyor, ancak solucan çok hızlı yayıldığı için herkesi uyarmak imkansız. Şirket, geliştiricilere, oluşturmadıkları yeni depolar veya aniden kamuya açıklanmış özel depolar gibi şüpheli etkinlikler için kamu Github hesaplarını kontrol etmelerini tavsiye ediyor.