Yeni bir Shai-Hulud tedarik zinciri saldırısı, ayda toplam 132 milyon indirmeyle yaklaşık 500 npm paketi vurdu.
En son kampanya, Eylül ayında yaklaşık 200 npm pakete bulaşan ve haftalık 2 milyardan fazla indirmeye neden olan kampanyanın ardından geldi.
JavaScript’i tarayıcı dışında çalıştırmak için kullanılan paketleri hedefleyen yeni kampanya, Aikido ve diğer güvenlik firmaları tarafından bildirildi.
Aikido, kendi kendini kopyalayan solucandan toplam 492 paketin etkilendiğini ve şifreler, API anahtarları, bulut belirteçleri ve GitHub veya npm kimlik bilgileri gibi hassas bilgileri içeren “Sha1-Hulud: İkinci Geliş” etiketli 25.000’den fazla güvenliği ihlal edilmiş veri havuzunun oluşturulduğunu belirtti.
Aikido’dan Charlie Eriksen, “Npm’nin, tedarik zinciri saldırıları dalgasından sonra 9 Aralık’ta klasik tokenleri iptal edeceğine dair son duyurusu göz önüne alındığında, zamanlama dikkate değer” dedi. “Pek çok kullanıcı hâlâ güvenilir yayıncılığa geçiş yapmamışken, saldırgan, npm’nin son teslim tarihinden önce bir saldırı daha yapmak için bu anı yakaladı.”
Shai-Hulud Saldırısı Zapier, AsyncAPI ve Diğer Paketleri Etkiliyor
Adını Dune’daki dev kum solucanlarından alan Shai-Hulud, güvenliği ihlal edilmiş geliştirici ortamlarında hızla yayılmak üzere tasarlanmış, kendi kendini kopyalayan bir npm solucanıdır.
En son saldırı, Zapier, ENS, AsyncAPI, PostHog, Tarayıcıbase ve Postman gibi büyük npm paketlerini hedef aldı.
Eriksen, “Bir sisteme bulaştığında, TruffleHog’u kullanarak API anahtarları ve belirteçler gibi açığa çıkan sırları arar ve bulduğu her şeyi halka açık GitHub deposunda yayınlar” dedi. “Daha sonra kendisinin yeni kopyalarını npm’ye göndermeye çalışarak, ekosistem boyunca yayılmasına yardımcı olurken verileri saldırgana geri sızdırıyor.”
Bir geliştirici bu kötü amaçlı paketlerden birini yüklerse, kötü amaçlı yazılımın kurulum sırasında herhangi bir şeyin kurulumu tamamlanmadan sessizce çalıştığını ve kötü amaçlı yazılımın geliştiricinin makinesine, derleme sistemlerine veya bulut ortamına erişmesine izin verdiğini söyledi.
Çalınan sırlar kod depolarına veya paket kayıtlarına erişimi içeriyorsa, saldırganlar bu sırları ek hesaplara sızmak ve daha fazla kötü amaçlı paket yayınlamak için kullanabilir ve bu da saldırıyı daha da yayabilir.
Eriksen, “Güvenilir ekosistemler söz konusu olduğundan ve milyonlarca indirme etkilendiğinden, NPM kullanan herhangi bir ekip, etkilenip etkilenmediğini derhal kontrol etmeli ve sızdırılmış olabilecek tüm kimlik bilgilerini döndürmeli” dedi.
Shai-Hulud Solucanı Detayları
Step Security’den Ashish Kurmi, kötü amaçlı yazılımın en son gelişiminin “tüm yükü yararlı bir Bun yükleyicisi olarak gizlediğini” belirtti.
Kurmi, çekirdek veri yükünün – bun_environment.js – 10 MB olduğunu ve “aşırı gizleme teknikleri” kullandığını ekledi.
Bunlar arasında “binlerce giriş içeren devasa bir altıgen kodlu dize dizisi”, “milyonlarca aritmetik işlem gerçekleştiren bir anti-analiz döngüsü” ve koddaki her dizenin gizlenmiş bir işlev aracılığıyla alınması yer alıyor.
Kurmi, kötü amaçlı yazılımın “kendisini arka plana ayırarak geliştirici makinelerde tam yürütmeyi geciktirdiğini” söyledi. “Kullanıcının terminali anında geri dönüyor ve normal bir kurulum yanılsaması veriyor, saniyeler sonra tamamen bağımsız bir süreç dışarı sızmaya başlıyor.”
Kurmi, “Hem CI/CD çalıştırıcılarını hem de geliştirici iş istasyonlarını eşit etkinlikle hedef alan karmaşık, çok aşamalı bir kurulum öncesi saldırı gerçekleştiriyor” dedi.
Wiz, kötü amaçlı yazılımın “resmi SDK’ları barındırma araçlarından bağımsız çalışacak şekilde bir araya getirerek” AWS, Azure ve Google Cloud Platform’u (GCP) hedef aldığını belirtti.