Kaspersky Tehdit Araştırması, Shai-Hulud solucanının birinci enfekte ettiği paketi tahlil ederek, kendi kendini kopyalayan bu makus hedefli yazılımın npm ekosistemine yönelik yaygın tedarik zinciri saldırısını nasıl başlattığına dair bilgileri paylaştı. Kaspersky’nin araştırmasına göre, Shai-Hulud solucanı toplam 530 paket sürümünden 190 eşsiz paketi enfekte etti. Bu da taarruz sırasında birçok paketin birden fazla güvenliği ihlal edilmiş sürümünün yayınlandığını gösteriyor.
15 Eylül 2025’te birinci sefer ortaya çıkan, kendi kendini kopyalayan makûs gayeli bir yazılım olan Shai-Hulud solucanı, kimlik doğrulama jetonlarını çalarak ve legal paketlerin virüslü sürümlerini yayınlayarak geliştirici hesapları aracılığıyla otomatik olarak yayılıyor. Akının tesiri geniş çapta belgelenmiş olsa da, Kaspersky’nin tahlili, birinci enfeksiyon düzeneği ve solucanın sofistike yayılma prosedürleri hakkında teknik detayları ortaya koydu.
Kaspersky Tehdit Araştırması Makus Maksatlı Yazılım Analisti Vladimir Gurskiy, bahse ait şunları söyledi: “Analizimiz, bu tedarik zinciri saldırısının nasıl işlediğine ve depo maruziyetinin gerçek kapsamına ait değerli bilgiler sağlıyor. Solucanın özel depoları kuruluşlardan ferdi hesaplara sistematik olarak taşıma hareketi, tedarik zinciri tehditlerinde kıymetli bir artışa işaret ediyor ve yıllarca süren özel geliştirme çalışmalarını tehlikeye atma potansiyeli taşıyor. Bu araştırma, Kaspersky Açık Kaynak Yazılım Tehditleri Data Akışını neden sürdürdüğümüzü bir kere daha ortaya koyuyor. Zira kuruluşlar, geliştirme süreçlerini bu çeşit sofistike ataklardan korumak için, güvenliği ihlal edilmiş paketler hakkında gerçek vakitli istihbarata muhtaçlık duyuyor.”
Kaspersky’nin araştırması, ngx-bootstrap sürüm 18.1.4’ün başlangıç noktası olarak hizmet ettiğini doğruladı ve bu sonucun elde edilmesinde kullanılan teknik metodolojiyi açıkladı. Araştırmacılar, bu sırada kıymetli bir ayırt edici özellik tespit etti: Bu sürümden sonraki tüm enfekte paketler heyetim sonrası komut evrakları aracılığıyla berbat maksatlı kodları çalıştırırken, başlangıç noktası paketi eşsiz bir halde heyetim öncesi komutunu kullandı. Bu da onun otomatik yayılmanın kurbanı değil, başlangıç noktası olduğunu ortaya çıkardı.
Bu solucan, GitHub’daki özel kurumsal depoları tehlikeye atmak için özel olarak tasarlanmış fonksiyonlar içeriyor. Kimlik doğrulama jetonlarını çalmanın ötesinde, özel ve dahili depoları da GitHub kuruluşlarından kullanıcı hesaplarına otomatik olarak taşıyor. Böylelikle bâtın kurumsal kodları tesirli bir halde kamuya açık hale getiriyor ve tüm özel kod tabanlarını ifşa ediyor.
Kaspersky tahlilleri, bu makûs emelli yazılımı HEUR:Worm.Script.Shulud.gen olarak tanımlıyor. Kuruluşlar, GitHub depolarında “shai-hulud” kısımlarını yahut shai-hulud-workflow.yml belgelerinin varlığını arayarak enfeksiyon olup olmadığını denetim edebilirler.
Daha fazla bilgi için Securelist adresini ziyaret edin.
Kaspersky, daha evvel açık kaynak ekosistemlerini gaye alan tedarik zinciri taarruzlarının artan eğilimi konusunda uyarıda bulunmuştu. Şirketin güvenlik araştırmacıları, makûs gayeli modül oluşturmanın tehdit aktörleri ortasında giderek daha tanınan hale gelen bir atak vektörü olduğunu belirledi.
- Bağımlılıklarınızı proaktif olarak izleyin. Kaspersky Açık Kaynak Yazılım Tehditleri Bilgi Akışı bunu gerçekleştirmenize yardımcı olur. Bu bilgi akışı, açık kaynak platformlarını maksat alan makus hedefli faaliyetler hakkında gerçek vakitli istihbarat sağlayarak kuruluşların tedarik zinciri akınlarına karşı proaktif olarak savunma yapmasına yardımcı olmak için tasarlanmıştır.
- Kaspersky Premium gibi güçlü siber güvenlik tahlilleriyle şahsî aygıtlarınızı koruyun. Bu tahlil, aygıtlarınızda depolanan kimlik doğrulama jetonlarını ve kimlik bilgilerini gaye alan tedarik zinciri makûs emelli yazılım bulaşmalarını önlemek ve etkisiz hale getirmek için çok katmanlı müdafaa sağlar.
- Güvenli Linux geliştirme ortamları kurgulayın. Kaspersky for Linux, npm paketlerinin yüklendiği ve çalıştırıldığı derleme sunucularını ve CI/CD ardışık tertiplerini koruyarak, kendi kendine yayılan solucanların tüm geliştirme altyapınızı tehlikeye atmasını önler.
- Kaspersky Next ürün serisi üzere kurumsal bir siber güvenlik tahlili kullanarak, her büyüklükteki ve daldaki kuruluşlarda çeşitli siber güvenlik tehditlerine karşı savunma sağlayın ve gelişmiş tehdit görünürlüğü ve araştırma yeteneklerinin yanı sıra kapsamlı gerçek vakitli muhafaza sunun.
Kaynak: (BYZHA) Beyaz Haber Ajansı