İlk olarak 24 Kasım 2025’te tespit edilen Shai Hulud 2.0 solucanı, büyük bankalar, devlet kurumları ve Fortune 500 teknoloji firmaları da dahil olmak üzere yaklaşık 1.200 kuruluşun güvenliğini tehlikeye attı.
İlk raporlar bunu GitHub’u spam depolarıyla dolduran basit bir npm tedarik zinciri saldırısı olarak tanımlarken, yeni analiz çok daha karmaşık bir operasyonu ortaya koyuyor.
Entro araştırmacıları, kötü amaçlı yazılımın yalnızca gürültü yaratmadığını; hassas çalışma zamanı belleğini ve kimlik bilgilerini kurumsal CI/CD işlem hatlarının derinliklerinden başarıyla sızdırdı.
İlk analizler, solucan tarafından oluşturulan saldırganların kontrol ettiği binlerce GitHub deposuna odaklandı. Ancak Entro’daki araştırmacılar, bu depoların çok daha büyük bir soygun için yalnızca “toplama katmanı” olduğunu doğruladılar.
Gerçek hasar, kurban ortamlarında, geliştirici uç noktalarında, bulut oluşturma sunucularında ve kendi kendine barındırılan GitHub çalıştırıcılarında meydana geldi; burada kötü amaçlı yazılım, güvenliği ihlal edilmiş npm paketlerinin “ön kurulum” aşamasında yük komut dosyalarını çalıştırdı.
Shai Hulud 2.0, yalnızca statik dosyaları kazımak yerine tüm çalışma zamanı ortamlarını yakaladı. Entro analizi, ambient.json gibi oluşturulan yapıtların çift base64 kodlu bellek anlık görüntüleri içerdiğini buldu.
Bu anlık görüntüler, saldırganların ele geçirilen makinelerin tam durumunu yeniden yapılandırmasına ve kod depolarında hiç görünmeyen bellek içi sırlara erişmelerine olanak tanıdı.
Uzlaşmanın boyutu şaşırtıcı. Entro araştırmacıları, sızdırılan verilerde bulunan e-posta etki alanlarını, dahili ana bilgisayar adlarını ve kiracı tanımlayıcılarını analiz ederek 1.195 farklı kuruluş tespit etti.
Saldırıdan en çok zarar görenler teknoloji ve SaaS şirketleri oldu; bu şirketler, belirlenen kurbanların yarısından fazlasını temsil ediyor.
| Sanayi Sektörü | Güvenliği Tehlikeye Giren Kuruluşların Sayısı |
|---|---|
| Teknoloji / SaaS | 647 |
| Finansal Hizmetler ve Bankacılık | 53 |
| Sağlık hizmeti | 38 |
| Sigorta | 26 |
| Medya | 21 |
| Telekom | 20 |
| Lojistik | 15 |
Entro raporuna göre iki spesifik örnek, ihlalin ciddiyetini vurguluyor. Bunlardan ilki, kendi kendine barındırılan GitHub Actions çalıştırıcısının ele geçirildiği, dünyanın en büyük yarı iletken şirketlerinden biriyle ilgiliydi.
Kodu çözülen bellek dökümü, aktif GitHub Kişisel Erişim Jetonlarını ve dahili ana bilgisayar adlarını açığa çıkararak saldırganların şirketin dahili altyapısına geçerli giriş noktalarına sahip olduğunu kanıtladı.
İkinci kurban ise Seviye 1 dijital varlık saklama sağlayıcısıydı. Bu durumda, kötü amaçlı yazılım GitLab CI hattına çarptı. Sızdırılan veriler arasında canlı AWS gizli anahtarları, blockchain üretim belirteçleri ve Slack API anahtarları yer alıyordu.
Kritik olarak, ilk açıklamadan üç gün sonra, 27 Kasım’da gerçekleştirilen taramalar, Google Bulut Hizmet Hesabı anahtarları da dahil olmak üzere bu yüksek değerli kimlik bilgilerinden bazılarının hâlâ geçerli olduğunu ve iptal edilmediğini ortaya çıkardı.
Shai Hulud 2.0 ile ilişkili GitHub depoları kaldırılıyor ancak çalınan kimlik bilgileri saldırganın elinde kalıyor. Kampanya, ister yerel bir dizüstü bilgisayar ister bulut tabanlı bir CI çalıştırıcı olsun, kodun yürütüldüğü herhangi bir ortamın bellek kazıma için potansiyel bir hedef olduğunu gösteriyor.
Saldırıdan günler sonra geçerli sırların ortalıkta dolaşması nedeniyle, kuruluşların insan olmayan tüm kimlikleri değiştirmeleri ve çalışma zamanı ortamlarını tamamen tehlikeye atılmış olarak değerlendirmeleri isteniyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
