Kaspersky, npm Shai-Hulud solucan tedarik zinciri saldırısı hakkında detayları paylaştı

Kaspersky Tehdit Araştırması, Shai-Hulud solucanının birinci enfekte ettiği paketi tahlil ederek, kendi kendini kopyalayan bu berbat emelli yazılımın npm ekosistemine yönelik yaygın tedarik zinciri saldırısını nasıl başlattığına dair bilgileri paylaştı. Kaspersky’nin araştırmasına göre, Shai-Hulud solucanı toplam 530 paket sürümünden 190 eşsiz paketi enfekte etti. Bu da taarruz sırasında birçok paketin birden fazla güvenliği ihlal edilmiş sürümünün yayınlandığını gösteriyor.      

15 Eylül 2025’te birinci kere ortaya çıkan, kendi kendini kopyalayan makûs maksatlı bir yazılım olan Shai-Hulud solucanı, kimlik doğrulama jetonlarını çalarak ve yasal paketlerin virüslü sürümlerini yayınlayarak geliştirici hesapları aracılığıyla otomatik olarak yayılıyor. Akının tesiri geniş çapta belgelenmiş olsa da, Kaspersky’nin tahlili, birinci enfeksiyon sistemi ve solucanın sofistike yayılma yolları hakkında teknik detayları ortaya koydu.      

Kaspersky Tehdit Araştırması Berbat Gayeli Yazılım Analisti Vladimir Gurskiy, mevzuya ait şunları söyledi: “Analizimiz, bu tedarik zinciri saldırısının nasıl işlediğine ve depo maruziyetinin gerçek kapsamına ait kıymetli bilgiler sağlıyor. Solucanın özel depoları kuruluşlardan kişisel hesaplara sistematik olarak taşıma aksiyonu, tedarik zinciri tehditlerinde kıymetli bir artışa işaret ediyor ve yıllarca süren özel geliştirme çalışmalarını tehlikeye atma potansiyeli taşıyor. Bu araştırma, Kaspersky Açık Kaynak Yazılım Tehditleri Data Akışını neden sürdürdüğümüzü bir kere daha ortaya koyuyor. Zira kuruluşlar, geliştirme süreçlerini bu çeşit sofistike hücumlardan korumak için, güvenliği ihlal edilmiş paketler hakkında gerçek vakitli istihbarata gereksinim duyuyor.”

Kaspersky’nin araştırması, ngx-bootstrap sürüm 18.1.4’ün başlangıç noktası olarak hizmet ettiğini doğruladı ve bu sonucun elde edilmesinde kullanılan teknik metodolojiyi açıkladı. Araştırmacılar, bu sırada değerli bir ayırt edici özellik tespit etti: Bu sürümden sonraki tüm enfekte paketler suram sonrası komut belgeleri aracılığıyla makûs gayeli kodları çalıştırırken, başlangıç noktası paketi eşsiz bir halde suram öncesi komutunu kullandı. Bu da onun otomatik yayılmanın kurbanı değil, başlangıç noktası olduğunu ortaya çıkardı.            

Bu solucan, GitHub’daki özel kurumsal depoları tehlikeye atmak için özel olarak tasarlanmış fonksiyonlar içeriyor. Kimlik doğrulama jetonlarını çalmanın ötesinde, özel ve dahili depoları da GitHub kuruluşlarından kullanıcı hesaplarına otomatik olarak taşıyor. Böylelikle kapalı kurumsal kodları tesirli bir halde kamuya açık hale getiriyor ve tüm özel kod tabanlarını ifşa ediyor.           

Kaspersky tahlilleri, bu makûs hedefli yazılımı HEUR:Worm.Script.Shulud.gen olarak tanımlıyor. Kuruluşlar, GitHub depolarında “shai-hulud” kısımlarını yahut shai-hulud-workflow.yml evraklarının varlığını arayarak enfeksiyon olup olmadığını denetim edebilirler.

Daha fazla bilgi için Securelist adresini ziyaret edin.

Kaspersky, daha evvel açık kaynak ekosistemlerini amaç alan tedarik zinciri ataklarının artan eğilimi konusunda uyarıda bulunmuştu. Şirketin güvenlik araştırmacıları, berbat hedefli modül oluşturmanın tehdit aktörleri ortasında giderek daha tanınan hale gelen bir akın vektörü olduğunu belirledi.

• Bağımlılıklarınızı proaktif olarak izleyin. Kaspersky Açık Kaynak Yazılım Tehditleri Bilgi Akışı bunu gerçekleştirmenize yardımcı olur. Bu data akışı, açık kaynak platformlarını maksat alan berbat hedefli faaliyetler hakkında gerçek vakitli istihbarat sağlayarak kuruluşların tedarik zinciri taarruzlarına karşı proaktif olarak savunma yapmasına yardımcı olmak için tasarlanmıştır.
• Kaspersky Premium gibi güçlü siber güvenlik tahlilleriyle şahsî aygıtlarınızı koruyun. Bu tahlil, aygıtlarınızda depolanan kimlik doğrulama jetonlarını ve kimlik bilgilerini gaye alan tedarik zinciri berbat gayeli yazılım bulaşmalarını önlemek ve etkisiz hale getirmek için çok katmanlı müdafaa sağlar.
• Güvenli Linux geliştirme ortamları kurgulayın. Kaspersky for Linux, npm paketlerinin yüklendiği ve çalıştırıldığı derleme sunucularını ve CI/CD ardışık sistemlerini koruyarak, kendi kendine yayılan solucanların tüm geliştirme altyapınızı tehlikeye atmasını önler.
• Kaspersky Next ürün serisi üzere kurumsal bir siber güvenlik tahlili kullanarak, her büyüklükteki ve kesimdeki kuruluşlarda çeşitli siber güvenlik tehditlerine karşı savunma sağlayın ve gelişmiş tehdit görünürlüğü ve araştırma yeteneklerinin yanı sıra kapsamlı gerçek vakitli muhafaza sunun.

Kaynak: (BYZHA) Beyaz Haber Ajansı