Otomasyon devi Zapier ve Ethereum Name Service’in (ENS) NPM hesaplarını hedef alan büyük bir tedarik zinciri saldırısı.
Aikido Güvenliği tarafından tespit edilen kampanya, ilk kez Eylül ayında ortaya çıkan “Shai Hulud” kendi kendine yayılan solucandan sorumlu olan aynı tehdit aktörleri tarafından yönetiliyor.
Kendi adını “Shai Hulud: İkinci Geliş” olarak adlandıran bu son dalga, birden fazla çekirdek paketi tehlikeye attı ve çalıntı kimlik bilgilerini içeren 19.000’den fazla halka açık depo oluşturdu.
Bu kampanyanın arkasındaki tehdit aktörü, Zapier ve ENS ekosistemlerinde yaygın olarak kullanılan bağımlılıklara doğrudan kötü amaçlı kod enjekte etmek üzere önceki hedeflerden yola çıktı.
Tipik statik kötü amaçlı yazılımların aksine, bu saldırı, hızla genişleyebilen, kendi kendine yayılan bir solucan kullanır. Bir geliştirici virüs bulaşmış bir paketi yüklediğinde, kötü amaçlı yazılım etkinleşerek NPM belirteçleri, GitHub Kişisel Erişim Belirteçleri (PAT’ler) ve bulut altyapı anahtarları dahil olmak üzere hassas sırları toplar.
Çalınan bu kimlik bilgileri daha sonra enfeksiyonu daha da yaymak için hemen kullanılıyor ve açık kaynak topluluğu genelinde basamaklı bir etki yaratıyor. Bu yayılmanın hızı endişe verici; etki, tespit edildikten sadece beş saat sonra aktörün Eylül ayındaki ilk kampanyasını geride bıraktı.
Veri Sızdırma Taktikleri
Bu saldırının temel amacı maksimum kesinti ve veri açığa çıkarmak gibi görünüyor. Kötü amaçlı yazılım, sırları avlamak ve virüslü ortamlardan hassas verileri sızdırmak için tasarlanmış bir araç olan TruffleHog’u kullanıyor.
Saldırganlar bu kimlik bilgilerini yalnızca kendilerine saklamıyor. Ayrıca bunları GitHub’ta açıklayıcı başlıklar içeren veri havuzlarında halka açık olarak paylaşıyorlar: “Shai Hulud: İkinci Geliş.”
Aikido Security, Cybersecurity News’e yaptığı açıklamada, bu durumun kamuya açık hale gelmesinin riski katlanarak artırdığını, çünkü diğer fırsatçı tehdit aktörlerinin açıktaki anahtarları kuruluşlar değiştirmeden önce silah haline getirmesine olanak tanıdığını söyledi.
Oluşturulan veri havuzlarının çok büyük hacmi, güvenlik ekiplerini ve olay müdahale ekiplerini bunaltmayı amaçlayan yüksek derecede otomatikleştirilmiş bir yürütmeyi akla getiriyor.
Aşağıdaki paketlerin güvenliği ihlal edilmiş olduğu onaylandı ve aktif olarak kötü amaçlı olarak değerlendirilmelidir.
| Ekosistem | Paket Adı | Durum |
|---|---|---|
| Zapier | zapier-platform-core |
Etkilenmiş / Kötü Amaçlı |
| Zapier | zapier-platform-cli |
Etkilenmiş / Kötü Amaçlı |
| Zapier | zapier-platform-schema |
Etkilenmiş / Kötü Amaçlı |
| Zapier | @zapier/secret-scrubber |
Etkilenmiş / Kötü Amaçlı |
| ENS | @ensdomains/ens-validation |
Etkilenmiş / Kötü Amaçlı |
| ENS | @ensdomains/content-hash |
Etkilenmiş / Kötü Amaçlı |
| ENS | ethereum-ens |
Etkilenmiş / Kötü Amaçlı |
| ENS | @ensdomains/react-ens-address |
Etkilenmiş / Kötü Amaçlı |
| ENS | @ensdomains/ens-contracts |
Etkilenmiş / Kötü Amaçlı |
| ENS | @ensdomains/ensjs |
Etkilenmiş / Kötü Amaçlı |
| ENS | @ensdomains/ens-archived-contracts |
Etkilenmiş / Kötü Amaçlı |
| ENS | @ensdomains/dnssecoraclejs |
Etkilenmiş / Kötü Amaçlı |
Listelenen paketlerden herhangi birini kullanan kuruluşlar, geliştirme ortamlarından tam anlamıyla ödün vermelidir. Güvenlik ekiplerinin, yetkisiz erişimi önlemek için tüm GitHub, NPM ve bulut kimlik bilgilerini derhal döndürmeleri isteniyor.
Tüm bağımlılıkları denetlemek ve özellikle GitHub kuruluşlarını ve çalışan hesaplarını “Shai Hulud” tanımıyla eşleşen depolar için taramak kritik öneme sahiptir.
Daha fazla yayılmayı durdurmak için DevOps ekipleri, mümkün olduğunda CI/CD işlem hatlarında NPM kurulum sonrası komut dosyalarını geçici olarak devre dışı bırakmalı ve tüm paket bakımcıları için Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılmalıdır.
Bağımlılık sürümlerini kilitlemek ve SafeChain gibi araçları kullanmak, ekosistem iyileşirken bu kötü amaçlı yazılımın otomatik olarak yürütülmesini engellemeye yardımcı olabilir.
| Gösterge Türü | Değer / Açıklama |
|---|---|
| Repo Adı Kalıbı | Shai Hulud: İkinci Geliş |
| Kötü Amaçlı Yazılım Davranışı | Gizli tarama için TruffleHog’un otomatik olarak yürütülmesi |
| Hedeflenen Varlıklar | NPM Tokenları, GitHub PAT’leri, Bulut Anahtarları |
| Herkese Açık Repo Sayısı | > 19.000 kötü amaçlı depo oluşturuldu |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
