Yıkıcı “İkinci Geliş” kampanyasının binlerce geliştirme ortamını felce uğratmasından yalnızca birkaç hafta sonra, Shai-Hulud solucanının arkasındaki tehdit aktörü geri döndü. Aikido’daki güvenlik araştırmacıları, “Altın Yol” olarak adlandırılan kötü amaçlı yazılımın yeni, gelişmiş bir türünü tespit etti; bu, npm ekosistemindeki en agresif tedarik zinciri yırtıcısının henüz bitmediğini gösteriyor.
Bu son yineleme ilk olarak hafta sonu paketin içine yerleştirilmiş olarak görüldü. @vietmoney/react-big-calendar. İlk keşif, saldırganların hâlâ sınırlı bir yayılımla “test” aşamasında olabileceğini öne sürse de kodda bulunan teknik iyileştirmeler, daha dayanıklı ve platformlar arası bir tehdide işaret ediyor.
Bir Yırtıcı Hayvanın Evrimi
Shai-Hulud uzun zamandır bir Kumul-ilham veren teatral yetenek, ancak son gelişimi markalaşmada bir değişime işaret ediyor. Bu yeni dalgada çalınan veriler, şifreli yeni bir açıklama içeren GitHub depolarına sızıyor: “Goldox-T3chs: Yalnızca Mutlu Kız.
Teknik olarak “Altın Yol” önemli bir yükseltmedir. Solucanın önceki sürümleri, Windows ortamlarını kullanarak kendi kendine yayılmaya çalışırken sorunlarla karşılaşıyordu. bun çalışma zamanı. Yeni tür, solucanın kurbanın işletim sisteminden bağımsız olarak yayılabilmesini sağlayan platformlar arası yayınlama yeteneklerini uygulayarak özellikle bu sorunu ele alıyor.
Araştırmacılar ayrıca dosya terminolojisinde de bir değişime dikkat çekti; kötü amaçlı yazılım artık bun_installer.js Ve environment_source.js— ve solucanın AWS, GCP ve Azure kimlik bilgilerini toplamak için kullandığı gizli tarama aracı olan TruffleHog için geliştirilmiş hata işleme özelliğine sahiptir. Zaman aşımı mantığını iyileştirerek, kötü amaçlı yazılımın yüksek gecikmeli taramalar sırasında çökme olasılığı artık azalıyor ve “parçala ve yakala” işlemleri daha güvenilir hale geliyor.
Bir Yıkım Mirası
Bu Shai-Hulud’un ilk rodeosu değil. Grup ilk kez Eylül 2025’te, siber güvenlik devi CrowdStrike’a ait olanlar da dahil olmak üzere 500 npm’den fazla pakete yönelik büyük bir kampanyayla manşetlere çıktı.
Okuyun: NPM Saldırı Kampanyasında Vurulanlar Arasında CrowdStrike
Bu ilk saldırı tarihsel olarak önemliydi; tahminen 50 milyon dolarlık kripto para biriminin çalınmasıyla sonuçlandı ve güvenlik konusunda en bilinçli kuruluşların bile yukarı yönlü bağımlılığın ele geçirilmesine karşı savunmasız olduğunu kanıtladı.
Kasım ayında, “İkinci Geliş” dalgası, kötü amaçlı yazılımın komuta ve kontrol (C2) sunucularıyla bağlantısının kesildiğini tespit etmesi durumunda kullanıcının ana dizinini silmek üzere tasarlanmış yıkıcı bir yük olan “ölü adam anahtarı”nı tanıtarak riskleri artırdı.
Okuyun: Yeni Shai-Hulud Saldırısı 100 Milyondan Fazla İndirmeyle Yaklaşık 500 npm Pakete Ulaştı
Tedarik Zinciri Açmazı
Shai-Hulud’un geri dönüşü, modern DevOps için acı bir gerçeğin altını çiziyor: güven bir sorumluluktur. Npm paketlerinin kurulum öncesi aşamasını hedef alan kötü amaçlı yazılım, geliştirici paketin kötü amaçlı olduğunu fark etmeden önce çalıştırılır.
Aikido araştırmacıları, “Koddaki farklılıklar, bunun orijinal kaynaktan gizlendiğini, yerinde değiştirilmediğini gösteriyor” dedi. “Bu, kopya olma olasılığını oldukça düşük kılıyor ancak solucanın orijinal kaynak koduna erişimi olan biri tarafından yapıldı.”
Npm’nin varsayılan güvenliğine güvenmek artık yeterli değil. Kuruluşların “Güvenilir Yayıncılık”ı benimsemeleri, sıkı bir kilit dosyası bütünlüğü sağlamaları ve yepyeni, incelenmemiş sürümlerin kurulumunu engelleyen paket eskitme araçlarını kullanmaları teşvik edilmektedir. Shai-Hulud dünyasında çölde hayatta kalmanın tek yolu ayaklarınızın altındaki toprağa güvenmeyi bırakmaktır.