Basın Bülteni- Kaspersky, npm Shai-Hulud solucan tedarik zinciri saldırısı hakkında ayrıntıları paylaştı

Kaspersky Tehdit Araştırması, Shai-Hulud solucanının ilk enfekte ettiği paketi analiz
ederek, kendi kendini kopyalayan bu kötü amaçlı yazılımın npm ekosistemine
yönelik yaygın tedarik zinciri saldırısını nasıl başlattığına dair bilgileri
paylaştı. Kaspersky'nin araştırmasına göre, Shai-Hulud solucanı toplam 530 paket
sürümünden 190 benzersiz paketi enfekte etti. Bu da saldırı sırasında birçok
paketin birden fazla güvenliği ihlal edilmiş sürümünün yayınlandığını gösteriyor.

15 Eylül 2025'te ilk kez ortaya çıkan, kendi kendini kopyalayan kötü amaçlı bir
yazılım olan Shai-Hulud solucanı, kimlik doğrulama jetonlarını çalarak ve meşru
paketlerin virüslü sürümlerini yayınlayarak geliştirici hesapları aracılığıyla
otomatik olarak yayılıyor. Saldırının etkisi geniş çapta belgelenmiş olsa da,
Kaspersky'nin analizi, ilk enfeksiyon mekanizması ve solucanın sofistike yayılma
yöntemleri hakkında teknik ayrıntıları ortaya koydu.

Kaspersky Tehdit Araştırması Kötü Amaçlı Yazılım Analisti Vladimir Gurskiy, konuya
ilişkin şunları söyledi: Analizimiz, bu tedarik zinciri saldırısının nasıl
işlediğine ve depo maruziyetinin gerçek kapsamına ilişkin önemli bilgiler sağlıyor.
Solucanın özel depoları kuruluşlardan bireysel hesaplara sistematik olarak
taşıma eylemi, tedarik zinciri tehditlerinde önemli bir artışa işaret ediyor ve
yıllarca süren özel geliştirme çalışmalarını tehlikeye atma potansiyeli taşıyor.
Bu araştırma, Kaspersky Açık Kaynak Yazılım Tehditleri Veri Akışını neden sürdürdüğümüzü
bir kez daha ortaya koyuyor. Çünkü kuruluşlar, geliştirme süreçlerini
bu tür sofistike saldırılardan korumak için, güvenliği ihlal edilmiş paketler
hakkında gerçek zamanlı istihbarata ihtiyaç duyuyor.

Kaspersky'nin araştırması, ngx-bootstrap sürüm 18.1.4'ün başlangıç noktası olarak
hizmet ettiğini doğruladı ve bu sonucun elde edilmesinde kullanılan teknik metodolojiyi
açıkladı. Araştırmacılar, bu sırada önemli bir ayırt edici özellik tespit
etti: Bu sürümden sonraki tüm enfekte paketler kurulum sonrası komut dosyaları
aracılığıyla kötü amaçlı kodları çalıştırırken, başlangıç noktası paketi
benzersiz bir şekilde kurulum öncesi komutunu kullandı. Bu da onun otomatik yayılmanın
kurbanı değil, başlangıç noktası olduğunu ortaya çıkardı.

Bu solucan, GitHub'daki özel kurumsal depoları tehlikeye atmak için özel olarak
tasarlanmış işlevler içeriyor. Kimlik doğrulama jetonlarını çalmanın ötesinde,
özel ve dahili depoları da GitHub kuruluşlarından kullanıcı hesaplarına otomatik
olarak taşıyor. Böylece gizli kurumsal kodları etkili bir şekilde kamuya açık
hale getiriyor ve tüm özel kod tabanlarını ifşa ediyor.

Kaspersky çözümleri, bu kötü amaçlı yazılımı HEUR:Worm.Script.Shulud.gen olarak
tanımlıyor. Kuruluşlar, GitHub depolarında shai-hulud dallarını veya shai-hulud-workflow.yml
dosyalarının varlığını arayarak enfeksiyon olup olmadığını kontrol
edebilirler.

Kaspersky, daha önce açık kaynak ekosistemlerini hedef alan tedarik zinciri saldırılarının
artan eğilimi konusunda uyarıda bulunmuştu. Şirketin güvenlik araştırmacıları,
kötü amaçlı modül oluşturmanın tehdit aktörleri arasında giderek daha
popüler hale gelen bir saldırı vektörü olduğunu belirledi.

- Bağımlılıklarınızı proaktif olarak izleyin. Kaspersky Açık Kaynak Yazılım Tehditleri
Veri Akışı bunu gerçekleştirmenize yardımcı olur. Bu veri akışı, açık kaynak
platformlarını hedef alan kötü amaçlı faaliyetler hakkında gerçek zamanlı
istihbarat sağlayarak kuruluşların tedarik zinciri saldırılarına karşı proaktif
olarak savunma yapmasına yardımcı olmak için tasarlanmıştır.
- Kaspersky Premium gibi güçlü siber güvenlik çözümleriyle kişisel cihazlarınızı
koruyun. Bu çözüm, cihazlarınızda depolanan kimlik doğrulama jetonlarını ve kimlik
bilgilerini hedef alan tedarik zinciri kötü amaçlı yazılım bulaşmalarını önlemek
ve etkisiz hale getirmek için çok katmanlı koruma sağlar.
- Güvenli Linux geliştirme ortamları kurgulayın. Kaspersky for Linux, npm paketlerinin
yüklendiği ve çalıştırıldığı derleme sunucularını ve CI/CD ardışık düzenlerini
koruyarak, kendi kendine yayılan solucanların tüm geliştirme altyapınızı
tehlikeye atmasını önler.
- Kaspersky Next ürün serisi gibi kurumsal bir siber güvenlik çözümü kullanarak,
her büyüklükteki ve sektördeki kuruluşlarda çeşitli siber güvenlik tehditlerine
karşı savunma sağlayın ve gelişmiş tehdit görünürlüğü ve araştırma yeteneklerinin
yanı sıra kapsamlı gerçek zamanlı koruma sunun.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -