Grafana Labs, Kod İhlalinin TanStack Saldırısından Kaynaklandığını Söyledi Siber Güvenlik

Grafana Labs, Kod İhlalinin TanStack Saldırısından Kaynaklandığını Söyledi

Popüler bir açık kaynak analiz yazılımı geliştiricisi, yakın zamanda meydana gelen bir veri ihlali ve gasp olayının, TanStack paketlerini tehlikeye at...

Popüler bir açık kaynak analiz yazılımı geliştiricisi, yakın zamanda meydana gelen bir veri ihlali ve gasp olayının, TanStack paketlerini tehlikeye atan Mini Shai-Hulud kampanyasından kaynaklandığını ortaya çıkardı.

Yapay zeka destekli görselleştirme uygulaması Grafana'yı yapan Grafana Labs, 17 Mayıs'ta yetkisiz bir saldırganın firmanın GitHub ortamına eriştikten sonra kod tabanını indirdiğini keşfettiğini söyledi.

Bu hafta yapılan bir güncellemede geliştirici, olayla ilgili daha fazla bilgi paylaştı ve kötü niyetli etkinliği ilk kez 11 Mayıs'ta tespit ettiğini ve bunu TanStack tedarik zinciri saldırılarıyla ilişkilendirdiğini açıkladı.

TeamPCP tehdit aktörleri, GitHub Eylemleri de dahil olmak üzere CI/CD ortamlarını hedef alan kimlik bilgileri çalan kötü amaçlı yazılım içeren düzinelerce TanStack npm paketini ele geçirdi.

Detaylar ve Etkileri

Bu, kötü amaçlı bir paket yayınlandığında Grafana'nın CI/CD ortamının onu otomatik olarak tükettiği ve bilgi hırsızının GitHub iş akışı belirteçlerini sızdırmak için çalıştırıldığı anlamına geliyordu.

Grafana, "Analiz gerçekleştirdik ve önemli sayıda GitHub iş akışı tokenını hızlı bir şekilde rotasyona tabi tuttuk, ancak kaçırılan bir token, saldırganların GitHub depolarımıza erişmesine yol açtı" diye itiraf etti. "Sonraki bir inceleme, başlangıçta etkilenmediğini düşündüğümüz belirli bir GitHub iş akışının aslında tehlikeye atıldığını doğruladı."

Shai-Hulud hakkında daha fazlasını okuyun: Mini Shai-Hulud, AntV Ekosistemi'nde Yüzlerce npm Paketine Ulaştı

Önemli Gelişmeler

Grafana şöyle devam etti: "Fidye çetesi bizimle iletişime geçer geçmez, otomasyon belirteçlerinin döndürülmesi, gelişmiş izlemenin uygulanması, 11 Mayıs olayından bu yana tüm taahhütlerin denetlenmesi ve GitHub güvenlik duruşumuzu önemli ölçüde sertleştirmeyi içeren hafifletme çabalarını başlattık."

Grafana Labs ayrıca TeamPCP tarafından firmanın kod tabanının yanı sıra GitHub depolarından ek "dahili operasyonel bilgiler ve diğer ayrıntıların" alındığını da paylaştı.

Sonuç ve Değerlendirme

"Bu, üretim sistemleri veya Grafana Bulut platformunun kullanımı yoluyla alınan veya işlenen bilgileri değil, profesyonel bir ilişki bağlamında değiş tokuş edilecek iş iletişim kişisi adlarını ve e-posta adreslerini içerir" dedi.

Nasıl Önlem Alınmalı?

Bu aşamada müşterinin üretim sistemlerinin veya operasyonlarının tehlikeye girdiğine dair herhangi bir belirti bulunmadığını yineledi.

Teknik Analiz

Mini Shai-Hulud'dan Devam Eden Tehdit

Olay, bu Mini Shai-Hulud kampanyasından ortaya çıkan aşağı yönlü kurbanların uzun kuyruğunun sadece bir örneği.

Uzmanların Görüşleri

TanStack, tehdit aktörlerinin 11 Mayıs'ta 42 @tanstack/* paketinde 84 kötü amaçlı sürüm yayınladığını söyledi. Bilgi hırsızlığı yalnızca GitHub Actions belirteçlerini değil aynı zamanda GitLab, CircleCI, AWS, Google Cloud Platform, Azure, Kubernetes, HashiCorp Vault ve paket kayıt defteri belirteçlerini de hedef aldı.

Kampanya yalnızca TanStack kullanıcılarını etkilemedi. TeamPCP ayrıca OpenSearch npm sürümlerini, PyPI mistralai 2.4.6, PyPI guardrails-ai 0.10.1 ve diğer @squawk paketlerini tehlikeye atacak şekilde erişimini genişletti.

Bu Mini Shai-Hulud kampanyası özellikle tehlikeliydi çünkü TeamPCP, TanStack'in kendi CI/CD hattını tehlikeye attı, bu da kötü amaçlı paketlerin geçerli ve kriptografik olarak imzalanmış olarak sunulması anlamına geliyordu. Bu, alt geliştiricilerin kendi ortamlarında çalıştırıyor olabileceği tüm güvenlik filtrelerini atlamalarını sağladı.

Paylaş: