“Shai-Halud” olarak adlandırılan büyük bir tedarik zinciri saldırısı, 477’den fazla NPM paketini hedefleyerek JavaScript ekosistemini etkiledi ve Düğüm Paket Yöneticisi (NPM) kayıt defterinden yazılımlara dayanan geliştiriciler ve kuruluşlar arasında ciddi endişeler yarattı.
Bu olay, açık kaynaklı yazılımlara yönelik modern tehditlerin hem ölçeğini hem de karmaşıklığını ortaya koymakta ve geliştirilmiş güvenlik önlemlerine acil ihtiyaç duyulmasını vurgulamaktadır.
Saldırı detayları ve hedefler
Shai-Halud kampanyası ilk olarak Crowdstrike ile ilgili NPM paketleriyle bağlantılı şüpheli faaliyetler belirleyen güvenlik araştırmacıları tarafından tespit edildi.
Saldırganlar, NPM’de barındırılan yüzlerce meşru pakete kötü amaçlı kod yüklemelerine izin veren güvenilir yayıncı hesaplarına yetkisiz erişim elde etti.
Geri ihlal edilen paketlerden bazıları, Crowdstrike-SDK, Crowdstrike-Slient, Crowdstrike-API ve Crowdstrike işlevselliğini güvenlik ve otomasyon çözümlerine entegre etmek için yaygın olarak kullanılan birkaç tane içerir.
| Paket adı | Etkilenen versiyon |
| @crowdstrike/triattlint | 8.1.1 |
| @crowdstrike/triattlint | 8.1.2 |
| @crowdstrike/falcon-shoelace | 0.4.1 |
| @crowdstrike/falcon-shoelace | 0.4.2 |
| @crowdstrike/foundry-js | 0.19.1 |
| @crowdstrike/foundry-js | 0.19.2 |
| @crowdstrike/kayma çekirdeği | 0.34.2 |
| @crowdstrike/kayma çekirdeği | 0.34.3 |
| @crowdstrike/logscale-dashboard | 1.205.1 |
| @crowdstrike/logscale-dashboard | 1.205.2 |
| @crowdstrike/logscale-file-editor | 1.205.1 |
| @crowdstrike/logscale-file-editor | 1.205.2 |
| @crowdstrike/logscale-parser-edit | 1.205.1 |
| @crowdstrike/logscale-parser-edit | 1.205.2 |
| @crowdstrike/logscale-arearch | 1.205.1 |
| @crowdstrike/logscale-arearch | 1.205.2 |
| @crowdstrike/tailwind-toucan-taban | 5.0.1 |
| @crowdstrike/tailwind-toucan-taban | 5.0.2 |
Araştırmacılar, saldırganların kayıt defterine hızla haydut paketleri enjekte etmek için otomasyon araçlarından yararlandığını, zayıf hesap korumasını ve yetersiz gözetimden yararlandığını buldular.
Kanıtlar, bunun özel olarak kurumsal ortamlarda referanslı paketleri arayan koordineli, büyük ölçekli bir operasyon olduğunu göstermektedir.
Kurulduktan sonra, enfekte olmuş paketler, çevre değişkenlerini ve sırları yaymak için tasarlanmış kurulum sonrası komut dosyalarını yürütebilirdi.
CI/CD boru hatlarını ve geliştirme ortamlarını hedefleyerek, saldırganlar hassas kimlik doğrulama jetonlarını, bulut kimlik bilgilerini ve yapılandırma dosyalarını çalmayı amaçladılar.
Bu yaklaşım, iç ağlara kalıcı erişim elde etmelerini sağlayarak, iş açısından kritik uygulamalardan ve verileri tehlikeye attı.
Güvenlik uzmanları, NPM paketlerinin yaygın olarak yeniden kullanıldığı ve genellikle genişleyen bir bağımlılık ağacına sahip olduğu için, Shai-Halud gibi tedarik zinciri saldırılarının dalgalanma etkilerinin çok geniş olabileceği konusunda uyardı.
Tek bir paketten ödün verilirse, her uygulama ve kütüphane ona bağlı olabilir.
NPM Kayıt Defteri ve Güvenlik Ortakları, keşiften sonra kötü amaçlı paketleri tanımlamak ve kaldırmak için hızla çalıştı.
Etkilenen yayıncılar bilgilendirildi ve bağımlılıkların denetlenmesi ve güncellenmesi için rehberlik sağlandı.
CrowdStrike entegrasyonları veya benzeri NPM paketleri kullanan geliştiriciler, bağımlılık listelerini derhal gözden geçirmeli, işaretlenmiş paketleri kaldırmalı ve potansiyel olarak maruz kalan ortamlar için kimlik bilgilerini sıfırlamalıdır.
Bu saldırı, daha geniş yazılım tedarik zinciri için net bir uyarı görevi görür. Uzmanlar, yayıncı hesapları için çok faktörlü kimlik doğrulamanın uygulanmasını, paket bütünlüğünü izlemeyi ve şüpheli etkinliği tespit etmek için otomatik tarama araçlarını kullanmayı önerir.
Tedarik zinciri manipülasyonuna karşı uyanıklığı korumak artık açık kaynaklı kütüphanelere dayanan her kuruluş için kritik bir sorumluluktur.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.