Yazılım tedarik zinciri, npm ve Maven ekosistemlerindeki 834 paketi tehlikeye sokan karmaşık bir kötü amaçlı yazılım kampanyası olan “Shai Hulud v2″nin kuşatması altında.
Bu yeni dalga, yaygın olarak kullanılan kitaplıklara kötü amaçlı kod enjekte etmek için pull_request_target tetikleyicilerinden yararlanarak özellikle GitHub Actions iş akışlarını hedef alıyor.
Saldırı, PostHog, Zapier ve AsyncAPI gibi büyük projeleri etkileyerek, aşağı yöndeki bağımlılıkları sistematik olarak etkilemek için güvenliği ihlal edilmiş otomasyon tokenlarından yararlandı.
Bulaşma süreci, setupbun.js adlı bir ön yükleme komut dosyası tarafından başlatılan iki aşamalı gizli bir yükleyiciye dayanır.
Bu komut dosyası, gizlenmiş bir veri olan bunenvironment.js’yi yürütmek için Bun çalışma zamanını yükler ve derleme günlükleri sırasında algılamayı önlemek için standart çıktıyı bastırır.
Kötü amaçlı yazılım, güvenliği ihlal edilmiş CI hatları üzerinden hareket ederek veri havuzu sırlarına ayrıcalıklı erişim elde ederek kaynak kodunu değiştirmesine, yama sürümlerini artırmasına ve virüslü paketleri genel kayıtlarda yeniden yayınlamasına olanak tanır.
Socket.dev güvenlik analistleri, kötü amaçlı yazılımın benzersiz kalıcılık mekanizmasını tespit ederek, virüsleri yeniden tetiklemek için GitHub’da etkili bir şekilde arama yapan “Sha1-Hulud The Second Coming” işaret ifadesini kullandığına dikkat çekti.
Bu, bireysel veri havuzları temizlense bile saldırganların savunmasız uç noktaları tespit edip yeniden tehlikeye atabilmelerini sağlar.
Kampanyanın etkisi
Kampanyanın etkisi oldukça geniş; on binlerce veri deposundaki hassas kimlik bilgileri açığa çıkıyor ve otomatik tedarik zinciri saldırılarında tehlikeli bir evrime işaret ediyor.
Kötü amaçlı yazılım, bir CI ortamına yerleştiğinde kapsamlı bir kimlik bilgisi toplama rutini yürütür. Özellikle GITHUB_TOKEN, NPM_TOKEN ve AWS_ACCESS_KEY_ID’yi hedef alan tüm mevcut ortam değişkenlerini yakalarken aynı zamanda yerel dosya sistemini gömülü sırlar açısından taramak için bir TruffleHog ikili programını dağıtır.
.webp)
Tipik kazıyıcılardan farklı olarak bu yük, yönetilen kasalardan sırları çıkarmak için AWS, Google Cloud ve Azure’daki her bölgede dolaşarak bulut altyapısını agresif bir şekilde sıralar.
Çalınan tüm veriler, kurbanın hesabında oluşturulan rastgele oluşturulmuş bir GitHub deposuna aktarılmadan önce üç Base64 kodlama katmanı kullanılarak gizleniyor.
Ayrıca, kötü amaçlı yazılım, root erişimi elde etmek için sudoer’ları manipüle ederek veya Docker çalıştırma ayrıcalıklı komutlarını çalıştırarak Linux çalıştırıcılarında ayrıcalık yükseltmeye çalışır.
Solucanı yaymak için geçerli bir kimlik bilgisi bulunamazsa, kötü amaçlı yazılım, dosyaları silen yıkıcı bir temizleme işlevi yürütür.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
