24 Kasım 2025’te ortaya çıkışından bu yana 30.000’den fazla GitHub deposunu tehlikeye atan gelişmiş bir kötü amaçlı yazılım olan Shai-Hulud 2.0’ın keşfedilmesiyle önemli bir tedarik zinciri güvenliği ihlali ortaya çıktı.
Bu solucan benzeri kötü amaçlı yazılım, geliştirici ekosistemi için giderek büyüyen bir tehdit oluşturuyor; özellikle NPM paket yöneticisini hedef alıyor ve Maven ve OpenVSX dahil olmak üzere birden fazla platforma yayılıyor.
Saldırı, saldırganların geliştiricilerin günlük olarak kullandığı araçları nasıl giderek daha fazla hedef aldığını, geliştirme ortamlarından kritik kimlik bilgilerini ve hassas sırları nasıl çaldığını gösteriyor.
Kötü amaçlı yazılım, zehirli NPM paketleri aracılığıyla sistemlere sızıyor; birincil enfeksiyon vektörleri @postman/tunnel-agent sürüm 0.6.7 ve @asyncapi/specs sürüm 6.8.3’tür ve bunlar birlikte tüm enfeksiyonların yüzde 60’ından fazlasını oluşturur.
.webp)
Kötü amaçlı yazılım, paket yükleme aşamasında çalıştırıldıktan sonra otomatik olarak çalışan bir yükleme öncesi komut dosyası aracılığıyla çalışır, kalıcılık sağlar ve kimlik bilgisi toplama işlemlerini başlatır.
Solucan, güvenliği ihlal edilmiş ortamlarda mevcut GitHub kimlik bilgilerini arayarak ve bunları ek kötü amaçlı depolar yüklemek için kullanarak, basamaklı bir enfeksiyon zinciri oluşturarak kendi kendine yayılma yeteneği sergiliyor.
Wiz.io güvenlik analistleri, kötü amaçlı yazılımın, güvenliği ihlal edilmiş depolarda bulunan content.json dosyalarından yaklaşık 500 benzersiz GitHub kullanıcı adı ve belirtecini çaldığını belirtti.
Saldırı, GitHub kimlik bilgilerinin ötesinde, Trufflehog taramasıyla belirlenen 400.000’e kadar sırrı sızdırdı, ancak bunların yalnızca yüzde 2,5’inin meşru olduğu doğrulandı.
.webp)
Kritik olarak, sızdırılan NPM tokenlarının yüzde 60’ından fazlası geçerliliğini koruyor ve daha sonraki tedarik zinciri saldırıları için aktif bir risk oluşturuyor.
Kimlik Bilgisi Toplama ve Kalıcılık Mekanizmaları
Bulaşma mekanizması, paket kurulumu sırasında minimum düzeyde kullanıcı farkındalığıyla yürütülen kurulum öncesi yaşam döngüsü komut dosyasına kötü amaçlı kod enjekte edilmesine dayanır.
Kötü amaçlı yazılım, ortam değişkenlerini ve sistem bilgilerini bir ambient.json dosyasında toplayarak, güvenliği ihlal edilen her sistemin ayrıntılı bir parmak izini oluşturur.
Etkilenen makinelerin çoğu CI/CD ortamlarındaki Linux tabanlı kaplardır ve GitHub Actions hedeflenen platformların başında gelir.
Kötü amaçlı yazılım, AWS, Google Cloud ve Azure ortamlarından buluttan gizli veri çıkarmaya çalışıyor; ancak analiz, birden fazla bulut sağlayıcıdan aynı anda uygun şekilde gizli veri toplamayı engelleyen eksik hata işleme nedeniyle bu işlevsellikteki uygulama kusurlarını ortaya koyuyor.
Bu teknik gözetim, bulut kimlik bilgisi hırsızlığının kapsamını yanlışlıkla sınırladı; ancak yerel sırlar ve geliştirme kimlik bilgileri dünya çapında binlerce kuruluşta tamamen ele geçirilmiş durumda.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
