Zapier, ENS Domains, PostHog ve Postman gibi iyi bilinen paketlerin truva atı haline getirilmiş yüzlerce sürümü, yeni bir Shai-Hulud tedarik zinciri kampanyasında npm kayıt defterine yerleştirildi.
Kötü amaçlı paketler, geliştirici ve sürekli entegrasyon ve sürekli teslimat (CI/CD) sırlarını çalmak için hafta sonu NPM'ye (Düğüm Paket Yöneticisi) eklendi. Veriler otomatik olarak GitHub'a kodlanmış biçimde gönderilir.
Yayınlanma sırasında GitHub, son saldırıyla ilgili girişlere karşılık gelen 27.600 sonuç döndürdü.
Shai-Hulud kötü amaçlı yazılımı Eylül ortasında npm alanında ilk kez ortaya çıktığında ve geliştirici sırlarını çalmak için TruffleHog aracını kullanan, kendi kendine yayılan bir yüke sahip 187 paketi tehlikeye atmıştı.
Tehdit aktörü, yasal paketleri otomatik olarak indirdi, package.json dosyasını kötü amaçlı bir komut dosyası enjekte edecek şekilde değiştirdi ve ardından bunları, güvenliği ihlal edilmiş bakımcı hesaplarını kullanarak npm'de yayınladı.
Geliştirici odaklı güvenlik platformu Aikido Security'de kötü amaçlı yazılım araştırmacısı Charlie Eriksen, yeni kampanyayı bugün erken saatlerde, Shai-Hulud göstergelerini içeren truva atı haline getirilmiş 105 paket varken keşfetti. O zamandan bu yana, yalnızca paket adları sayılarak sayı 492'ye çıktı.
Daha sonra araştırmacı, tedarik zinciri saldırısında çalınan sırların GitHub'a sızdırıldığı konusunda uyardı.
Ancak kampanya katlanarak büyüyerek 27.000'den fazla kötü amaçlı pakete ulaştı. Wiz bulut güvenlik platformundaki tehdit araştırmacıları, kampanyada kullanılan yaklaşık 350 benzersiz bakımcı hesabı keşfetti ve "son birkaç saatte her 30 dakikada bir 1.000 yeni deponun tutarlı bir şekilde eklendiğini" belirtti.
Eriksen, BleepingComputer'a GitHub'daki depoların, truva atı haline getirilmiş npm paketleri kullanan ve ortamlarında GitHub kimlik bilgilerini kullanan, güvenliği ihlal edilmiş geliştiricilerin göstergesi olduğunu açıkladı.
CI/CD güvenlik şirketi Step Security'nin yeni Shai-Hulud kötü amaçlı yazılım analizinin teknik analizi, yeni yüklerin iki dosyada bulunduğunu, bunlardan birinin Bun yükleyicisi olarak gizlenen bir damlalık olan setup_bun.js olduğunu açıklıyor.
İkinci dosyanın adı bun_environment.js'dir ve boyutu 10 MB'tır. Step Security, binlerce girişi olan büyük bir altıgen kodlu dize, bir anti-analiz döngüsü ve koddaki her dizeyi almak için gizlenmiş bir işlev gibi "aşırı gizleme tekniklerine" dayandığını söylüyor.
Step Security, kötü amaçlı yazılımın saldırı sırasında gerçekleştirdiği beş aşamayı açıklıyor; bunlar arasında gizli sırlar (GitHub ve npm belirteçleri, AWS, GCP ve Azure gibi bulut platformlarına yönelik sırlar) ve kurbanın tüm ana dizininin üzerine yazan yıkıcı bir adım yer alıyor.
Kendi kendine sağlanan yazılımlar için koruma çözümleri sunan bir şirket olan Koi Security, Shai-Hulud tarafından ele geçirilen 800 npm'den fazla paketi izliyor ve bir paketin tüm virüslü sürümlerini sayıyor.
Araştırmacılar, yeni Shai-Hulud varyantındaki yıkıcı adımı doğruladılar ve üzerine yazmanın yalnızca dört koşul karşılandığında gerçekleştiğini söylediler.
Kötü amaçlı yazılım GitHub'da kimlik doğrulaması yapamıyorsa, platformda bir depo oluşturamıyorsa, GitHub belirteci getiremezse veya bir npm belirteci bulamazsa, kullanıcının ana klasörünün silinmesi gerçekleşir.
Wiz'e göre kötü amaçlı kod, geliştirici ve CI/CD sırlarını topluyor ve bunları "Shai-Hulud'a atıfta bulunan adlarla" GitHub depolarında yayınlıyor. Kötü amaçlı kod yalnızca yükleme öncesi aşamada yürütülür ve aşağıdaki dosyaları oluşturur:
Çalınan sırlar GitHub'da "Sha1-Hulud: İkinci Geliş" tanımına sahip, otomatik olarak oluşturulan depolarda yayınlanır.
Tehdit aktörünün, yukarıdaki dört dosyayla depo oluşturmak için kullandıkları GitHub hesaplarına da erişim sağladığı görülüyor.
GitHub, saldırganın depolarını ortaya çıktıkça siliyor, ancak tehdit aktörü yenilerini çok hızlı bir şekilde oluşturuyor gibi görünüyor.
Aikido Security'nin Shai Hulud kötü amaçlı yazılımının yeni bir sürümüyle tehlikeye girdiğini tespit ettiği 186 paketten oluşan listede Zapier, ENS Domains, PostHog ve AsyncAPI'den birden fazla paket var.
Güvenliği ihlal edilmiş Zapier paketleri, Zapier entegrasyonları oluşturmaya yönelik resmi araç setini oluşturur ve Zapier geliştiricileri için gereklidir.
EnsDomains paketleri, .eth adlarını işlemek, bunları Ethereum adreslerine çözümlemek, IPFS içeriğini bağlamak, adları doğrulamak ve resmi ENS akıllı sözleşmeleriyle etkileşimde bulunmak için cüzdanlar, DApp'ler, borsalar ve ENS Manager uygulaması tarafından yaygın olarak kullanılan araçlar ve kitaplıklardır.
Güvenliği ihlal edilen tüm paketler npm'den indirilebilir. Ancak bazı durumlarda platform, en son sürümün izinsiz yayınlanmasına ilişkin bir uyarı mesajı görüntüler ve bu, otomatik incelemenin bir güvenlik ihlali işaretleri yakaladığını belirtir.
Geliştiricilere, virüslü paketlerin tam listesi için Aikido'nun gönderisini kontrol etmeleri, güvenli sürümlere geçmeleri ve sırlarını ve CI/CD belirteçlerini derhal rotasyona tabi tutmaları tavsiye ediliyor.
Wiz araştırmacıları, güvenlik ekiplerine öncelikle güvenliği ihlal edilmiş paketleri tespit etmelerini ve bunları meşru paketlerle değiştirmelerini öneriyor. Ayrıca kuruluşları npm, GitHub ve bulut sağlayıcılarına bağlı tüm kimlik bilgilerini döndürmeye çağırıyorlar.
Aikido Security, geliştiricilere mümkünse sürekli entegrasyon sırasında npm kurulum sonrası komut dosyalarını devre dışı bırakmalarını tavsiye eder.
Shai Hulud'un geri dönüşü, platforma yapılan bir dizi yüksek etkili saldırının ardından GitHub'ın npm'ye yönelik tedarik zinciri saldırılarını önlemek için ek güvenlik önlemleri aldığı bir zamanda geldi. Ancak tedbirler kademeli olarak uygulanıyor.
BleepingComputer, kampanyayla ilgili olarak NPM ile iletişime geçmeye çalıştı ancak e-postalarımız teslim edilemedi olarak geri döndü.
Güncelleme [24 Kasım 10:28]: Makale Koi Security'den gelen bilgilerle güncellendi
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.
Yeni 'IndonesianFoods' spam göndericisi npm'yi 150.000 paketle doldurdu
PhantomRaven saldırısı npm'yi kimlik bilgileri çalan paketlerle dolduruyor
BÜYÜK sabotaj: Ünlü npm paketi Ukrayna savaşını protesto etmek için dosyaları siliyor
Google, APT24 casusluk kampanyalarında kullanılan BadAudio kötü amaçlı yazılımını açığa çıkardı
Kötü amaçlı NPM paketleri güvenlikten kaçmak için Adspect yönlendirmelerini kötüye kullanıyor
Kaynak: Bleeping Computer