Popüler açık kaynak analitik yazılım geliştiricisi Grafana Labs, yakın zamanda yaşanan bir veri ihlali ve fidye yazılımı olayının, TanStack paketlerini hedef alan Mini Shai-Hulud kampanyasından kaynaklandığını açıkladı. Yapay zeka destekli görselleştirme uygulaması Grafana'nın geliştiricisi, 17 Mayıs'ta yetkisiz bir saldırganın GitHub ortamına erişerek kod tabanını indirdiğini tespit etti. Şirket, bu hafta yaptığı güncellemeyle, kötü amaçlı etkinliği ilk olarak 11 Mayıs'ta fark ettiğini ve bunu TanStack tedarik zinciri saldırılarıyla ilişkilendirdiğini belirtti.
TeamPCP tehdit aktörleri, CI/CD ortamlarını (GitHub Actions dahil) hedef alan kimlik bilgisi çalan kötü amaçlı yazılımla düzinelerce TanStack npm paketini tehlikeye attı. Bu, kötü amaçlı bir paket yayınlandığında Grafana'nın CI/CD ortamının otomatik olarak onu tüketmesi ve bilgi hırsızının GitHub iş akışı token'larını dışarı sızdırması anlamına geliyordu. Grafana, "Analiz yaptık ve önemli sayıda GitHub iş akışı token'ını hızla döndürdük, ancak kaçırılan bir token, saldırganların GitHub depolarımıza erişmesine yol açtı" dedi. "Sonraki inceleme, başlangıçta etkilenmediğini düşündüğümüz belirli bir GitHub iş akışının aslında tehlikeye atıldığını doğruladı."
Grafana Labs, fidye çetesiyle iletişime geçildiği anda azaltma çabalarını başlattıklarını ve otomasyon token'larını döndürme, gelişmiş izleme uygulama, 11 Mayıs olayından bu yana tüm commit'leri denetleme ve GitHub güvenlik duruşunu önemli ölçüde sertleştirme gibi önlemler aldıklarını söyledi. Ayrıca TeamPCP'nin GitHub depolarından kod tabanının yanı sıra 'ek dahili operasyonel bilgiler ve diğer ayrıntıları' aldığını paylaştı. Şirket, "Bu, profesyonel bir ilişki bağlamında değiş tokuş edilecek iş iletişim adları ve e-posta adreslerini içeriyor, üretim sistemlerinden veya Grafana Cloud platformundan çekilen bilgiler değil" dedi. Müşteri üretim sistemlerinin veya operasyonlarının tehlikeye atıldığına dair henüz bir kanıt olmadığını yineledi.
Sistem Güvenliği
Mini Shai-Hulud Kampanyasından Gelen Süregelen Tehdit: Bu olay, bu belirli Mini Shai-Hulud kampanyasından ortaya çıkan alt akım kurbanların uzun kuyruğunun yalnızca bir örneği. TanStack, tehdit aktörlerinin 11 Mayıs'ta 42 @tanstack/* paketinde 84 kötü amaçlı sürüm yayınladığını söyledi. Bilgi hırsızı yalnızca GitHub Actions token'larını değil, aynı zamanda GitLab, CircleCI, AWS, Google Cloud Platform, Azure, Kubernetes, HashiCorp Vault ve paket kayıt defteri token'larını da hedef aldı. Kampanya yalnızca TanStack kullanıcılarını etkilemedi; TeamPCP ayrıca OpenSearch npm sürümlerini, PyPI mistralai 2.4.6, PyPI guardrails-ai 0.10.1 ve @squawk paketlerini tehlikeye atmak için erişimini genişletti.
Bu Mini Shai-Hulud kampanyası özellikle tehlikeliydi çünkü TeamPCP, TanStack'in kendi CI/CD hattını tehlikeye attı; bu, kötü amaçlı paketlerin geçerli ve kriptografik olarak imzalanmış olarak sunulması anlamına geliyordu. Bu, alt akım geliştiricilerin ortamlarında çalıştırdıkları güvenlik filtrelerini atlamalarını sağladı. Grafana Labs, bu saldırının tedarik zinciri güvenliğinin ne kadar kritik olduğunu bir kez daha gösterdiğini belirtti. Şirket, tüm iş akışı token'larını döndürme ve güvenlik duruşunu güçlendirme gibi önlemler almasına rağmen, kaçırılan bir token'ın saldırganlara erişim sağladığını itiraf etti.
Grafana Labs, müşterilerine ve kullanıcılarına, veri ihlalinin üretim sistemlerini etkilemediğini ve gerekli güvenlik önlemlerinin alındığını garanti etti. Şirket, GitHub depolarından alınan bilgilerin profesyonel bağlamda değiş tokuş edilen iletişim bilgileri olduğunu ve hassas veriler içermediğini vurguladı. Bu olay, açık kaynak yazılım tedarik zincirinde güvenlik açıklarının ne kadar yaygın olduğunu ve geliştiricilerin CI/CD ortamlarını korumak için daha fazla önlem alması gerektiğini gösteriyor. Mini Shai-Hulud kampanyası, birden fazla platformda token'ları hedef alarak, tedarik zinciri saldırılarının potansiyel etkisini gözler önüne seriyor.
Kaynak: infosecurity-magazine.com