Zapier, ENS Domains, PostHog ve Postman gibi iyi bilinen paketlerin yüzlerce truva atı sürümü, yeni bir Shai-Hulud tedarik zinciri kampanyasıyla npm kayıt defterine yerleştirildi.
Kötü amaçlı paketler, geliştirici ve sürekli entegrasyon ve sürekli teslimat (CI/CD) sırlarını çalmak için hafta sonu NPM’ye (Düğüm Paket Yöneticisi) eklendi. Veriler otomatik olarak GitHub’a kodlanmış biçimde gönderilir.
Yayınlanma sırasında GitHub, son saldırıyla ilgili girişlere karşılık gelen 27.600 sonuç döndürdü.
kaynak: BleepingComputer
Shai-Hulud kötü amaçlı yazılımı Eylül ortasında npm alanında ilk kez ortaya çıktığında ve geliştirici sırlarını çalmak için TruffleHog aracını kullanan, kendi kendine yayılan bir yüke sahip 187 paketi tehlikeye atmıştı.
Tehdit aktörü meşru paketleri otomatik olarak indirdi, paket.json Kötü amaçlı bir komut dosyası enjekte etmek için dosya oluşturdum ve ardından bunları güvenliği ihlal edilmiş bakımcı hesaplarını kullanarak npm’de yayınladım.
Geliştirici odaklı güvenlik platformu Aikido Security’de kötü amaçlı yazılım araştırmacısı Charlie Eriksen, bugün erken saatlerde yeni kampanyayı keşfettiğinde, Shai-Hulud göstergelerine sahip 105 truva atı bulaşmış paket vardı. O zamandan bu yana sayı 492’ye çıktı; bunların bazılarının birden fazla versiyonu var.
Daha sonra araştırmacı, tedarik zinciri saldırısında çalınan sırların GitHub’a sızdırıldığı konusunda uyardı.
Ancak kampanya katlanarak büyüyerek 27.000’den fazla kötü amaçlı pakete ulaştı. Wiz bulut güvenlik platformundaki tehdit araştırmacıları, kampanyada kullanılan yaklaşık 350 benzersiz bakımcı hesabı keşfetti ve “son birkaç saat içinde her 30 dakikada bir 1.000 yeni deponun tutarlı bir şekilde eklendiğini” belirtti.
Eriksen, BleepingComputer’a GitHub’daki depoların, truva atı haline getirilmiş npm paketleri kullanan ve ortamlarında GitHub kimlik bilgilerini kullanan, güvenliği ihlal edilmiş geliştiricilerin göstergesi olduğunu açıkladı.
CI/CD güvenlik şirketi Step Security’nin yeni Shai-Hulud kötü amaçlı yazılım analizinin teknik analizi, yeni yüklerin iki dosyada mevcut olduğunu açıklıyor; setup_bun.js – Bun yükleyicisi kılığına girmiş bir damlalık.
İkinci dosya denir bun_environment.js ve 10MB boyutundadır. Step Security, binlerce girişi olan büyük bir altıgen kodlu dize, bir anti-analiz döngüsü ve koddaki her dizeyi almak için gizlenmiş bir işlev gibi “ekstrem gizleme tekniklerine” dayandığını söylüyor.
Wiz’e göre kötü amaçlı kod, geliştirici ve CI/CD sırlarını topluyor ve bunları “Shai-Hulud’a atıfta bulunan adlarla” GitHub depolarında yayınlıyor. Kötü amaçlı kod yalnızca kurulum öncesi aşamada çalıştırılır ve aşağıdaki dosyaları oluşturur:
- cloud.json
- içerik.json
- çevre.json
- truffleSecrets.json
Çalınan sırlar GitHub’da “Sha1-Hulud: The Second Coming” tanımına sahip otomatik olarak oluşturulan depolarda yayınlanır.
Tehdit aktörünün, yukarıdaki dört dosyayla depo oluşturmak için kullandıkları GitHub hesaplarına da erişim sağladığı görülüyor.
kaynak: BleepingComputer
GitHub, saldırganın depolarını ortaya çıktıkça siliyor, ancak tehdit aktörü yenilerini çok hızlı bir şekilde oluşturuyor gibi görünüyor.
Aikido Security’nin Shai Hulud kötü amaçlı yazılımının yeni bir sürümüyle tehlikeye girdiğini tespit ettiği 186 paketten oluşan listede Zapier, ENS Domains, PostHog ve AsyncAPI’den birden fazla paket var.
Güvenliği ihlal edilmiş Zapier paketleri, Zapier entegrasyonları oluşturmak için resmi araç setini oluşturur ve Zapier geliştiricileri için gereklidir.
EnsDomains paketleri, .eth adlarını işlemek, bunları Ethereum adreslerine çözümlemek, IPFS içeriğini bağlamak, adları doğrulamak ve resmi ENS akıllı sözleşmeleriyle etkileşimde bulunmak için cüzdanlar, DApp’ler, borsalar ve ENS Manager uygulaması tarafından yaygın olarak kullanılan araçlar ve kitaplıklardır.
Güvenliği ihlal edilen tüm paketler npm’den indirilebilir. Ancak bazı durumlarda platform, en son sürümün izinsiz yayınlanmasına ilişkin bir uyarı mesajı görüntüler ve bu, otomatik incelemenin bir güvenlik ihlali işaretleri yakaladığını belirtir.
Kaynak: BleepingComputer
Geliştiricilere, virüslü paketlerin tam listesi için Aikido’nun gönderisini kontrol etmeleri, güvenli sürümlere geçmeleri ve sırlarını ve CI/CD belirteçlerini derhal değiştirmeleri tavsiye ediliyor.
Wiz araştırmacıları, güvenlik ekiplerine öncelikle ele geçirilen paketleri tespit etmelerini ve bunları meşru paketlerle değiştirmelerini öneriyor. Ayrıca kuruluşları npm, GitHub ve bulut sağlayıcılarına bağlı tüm kimlik bilgilerini döndürmeye çağırıyorlar.
Aikido Security, geliştiricilere mümkünse sürekli entegrasyon sırasında npm kurulum sonrası komut dosyalarını devre dışı bırakmalarını tavsiye eder.
Shai Hulud’un geri dönüşü, platforma yapılan bir dizi yüksek etkili saldırının ardından GitHub’ın npm’ye yönelik tedarik zinciri saldırılarını önlemek için ek güvenlik önlemleri aldığı bir zamanda geldi. Ancak tedbirler kademeli olarak uygulanıyor.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.