3. taraf risk yönetimi, yönetişim ve risk yönetimi
JavaScript Deposu, solucan mümkün kötü amaçlı kodla iddia ediyor
Akhabokan Akan (Athokan_akhsha) •
17 Eylül 2025
Görünen bir “Dune” meraklısı, bir güvenlik şirketinin şimdiye kadarki en şiddetli JavaScript tedarik zinciri saldırılarından biri olarak adlandırdığı şeydeki NPM JavaScript deposuna ilk kendini tanıtan saldırıdan sorumludur.
Ayrıca bakınız: Mayhem Olmadan Birleşme: Çalışan Pam Stratejileri
Pazartesi günü bir tehdit oyuncusu, popüler JavaScript paketlerinin kötü niyetli sürümlerini NPM deposuna yükledi. Paketler, veri toplayan ve “Shai-hulud” adlı GitHub depolarına ileten bir komut dosyası içeriyordu. Bu, Sci-Fi Serisi Dune’deki Desert Planet Arrakis’te Spice Production için gerekli dev solucanların bir adı.
Bilgisayar korsanları ilk olarak popüler açık kaynaklı renk kütüphanesine enfekte @ctrl/tinycolorHaftalık iki milyondan fazla indirme olan, soket buldu. Güvenlik firması Wiz, kötü amaçlı yazılım, NPM deposuna erişim belirteçlerini belirleyerek ve paketleri kötü amaçlı kodla otomatik olarak güncelleyerek kendini yayıyor. Şirket, “NPM ekosistemindeki ilk başarılı kendini tanıtan saldırı olarak, bu bugüne kadar gözlenen en şiddetli JavaScript tedarik zinciri saldırılarından biri gibi görünüyor.”
Yaklaşık 500 etkilenen paket, güvenlik satıcısı Crowdstrike tarafından yayınlanan birden fazla paketi içerir. Kötü amaçlı yazılım, GitHub Jetons, Amazon Web Services tokenleri ve NPM kimlik bilgileri dahil olmak üzere verileri çalar.
Etkilenen paketler NPM sicili tarafından hızla kaldırıldı, ancak kampanyayı yakından takip eden Aikido Security güvenlik araştırmacısı Charlie Eriksen, güvenlik riskleri devam ediyor.
Eriksen, “Kötü amaçlı yazılımlar kendi kendini kopyaladığından, kampanya devam ediyor ve günlerce hatta haftalarca ek paketleri ve kuruluşları etkilemeye devam edebilir. Düzeltme adımlarıyla bile, bu solucanın kalıcılığı daha geniş ekosistemin risk altında kaldığı anlamına geliyor.”
Aikido, Ağustos ayında Shai-Hulud saldırılarının arkasındaki tehdit aktörünün, kod tabanlarını yönetmek için NX açık kaynaklı yapı platformunu destekleyen NX paketlerini hedefleyen ayrı bir NPM kampanyası başlattığına inanıyor. Shai-hulud saldırıları gibi, NX bilgisayar korsanları da kurban Github hesabında çalınan sırları barındırdıkları yeni bir kamu deposu oluşturdular.
Bir geliştirici, Shai-hulud enfekte olmuş paketlerden herhangi birini indirdiğinde, kötü amaçlı kod paketin yerini alır bundle.js kendi sürümüyle dosya. Komut dosyası, jetonlar ve bulut kimlik bilgileri için gizli bir tarayıcı olan Trufflehog’u indirir ve yürütür GITHUB_TOKEN– NPM_TOKEN– AWS_ACCESS_KEY_ID Ve AWS_SECRET_ACCESS_KEYSoket dedi.
Güvenlik firması CSA Cyber’ın kurucusu ve teknik direktörü James Griffiths, geliştiriciler enfekte bir paketin yaygınlığı nedeniyle yanlışlıkla enfekte paketleri çekebilirler.
Griffiths, kampanya, tedarik zinciri hack’lerini gerçekleştirmek için açık kaynaklı ortamlarda “güven zinciri” nin nasıl kullandığının en son örneğidir.
Griffiths, “Kötü niyetli sürümleri manuel olarak itmek yerine, paket ekosistemlerindeki güven ilişkileri yoluyla seyahat eden araçlar oluşturuyorlar.” Dedi. “Geliştiricilerin ve kuruluşların tedarik zinciri riski için birinci sınıf bir endişe olarak bütçe yapmaları gerekecek, tıpkı güvenlik açığı tarama, yama ve altyapı güvenliği için olduğu gibi.”