Grafana Labs Veri İhlali: TanStack Saldırısı Kod Tabanını Ele Geçirdi Windows

Grafana Labs Veri İhlali: TanStack Saldırısı Kod Tabanını Ele Geçirdi

Grafana Labs, TanStack'e yapılan Mini Shai-Hulud tedarik zinciri saldırısı sonucu kod tabanının çalındığını açıkladı. Saldırganlar CI/CD token'larını

Popüler açık kaynak analitik yazılım geliştiricisi Grafana Labs, yakın zamanda yaşadığı veri ihlali ve fidye girişiminin, TanStack paketlerini hedef alan Mini Shai-Hulud kampanyasından kaynaklandığını duyurdu. Yapay zeka destekli görselleştirme uygulaması Grafana'nın geliştiricisi olan şirket, 17 Mayıs'ta GitHub ortamına yetkisiz erişim sağlandığını ve kod tabanının indirildiğini tespit etti. Bu hafta yapılan güncellemede, saldırının 11 Mayıs'ta başladığı ve TanStack tedarik zinciri saldırılarıyla bağlantılı olduğu belirtildi.

TeamPCP tehdit aktörleri, CI/CD ortamlarını (GitHub Actions dahil) hedef alan kimlik bilgisi çalan kötü amaçlı yazılımlarla düzinelerce TanStack npm paketini ele geçirdi. Bu sayede, kötü amaçlı bir paket yayınlandığında Grafana'nın CI/CD ortamı otomatik olarak onu tüketti ve infostealer, GitHub iş akışı token'larını çalmak için devreye girdi. Grafana, "Analiz yaptık ve çok sayıda GitHub iş akışı token'ını hızla değiştirdik, ancak gözden kaçan bir token, saldırganların GitHub depolarımıza erişmesine neden oldu" ifadelerini kullandı. Yapılan incelemede, başlangıçta etkilenmediği düşünülen bir GitHub iş akışının aslında güvenliğinin ihlal edildiği anlaşıldı.

Grafana, fidye çetesi tarafından temas kurulur kurulmaz azaltma çabalarına başladıklarını belirtti. Bu çabalar arasında otomasyon token'larının değiştirilmesi, gelişmiş izleme uygulanması, 11 Mayıs olayından bu yana tüm commit'lerin denetlenmesi ve GitHub güvenlik duruşunun önemli ölçüde sertleştirilmesi yer alıyor. Ayrıca TeamPCP'nin GitHub depolarından kod tabanının yanı sıra ek "dahili operasyonel bilgiler ve diğer detayları" da çaldığı açıklandı. Bu bilgiler arasında iş ilişkileri bağlamında paylaşılan kişi adları ve e-posta adresleri bulunuyor, ancak üretim sistemlerinden veya Grafana Cloud platformundan alınan veriler yer almıyor.

Sistem Güvenliği

Şirket, müşteri üretim sistemlerinin veya operasyonlarının tehlikeye atıldığına dair herhangi bir belirti olmadığını yineledi. Bununla birlikte, Mini Shai-Hulud kampanyasının yarattığı tehdit devam ediyor. TanStack, tehdit aktörlerinin 11 Mayıs'ta 42 @tanstack/* paketi genelinde 84 kötü amaçlı sürüm yayınladığını bildirdi. Infostealer yalnızca GitHub Actions token'larını değil, aynı zamanda GitLab, CircleCI, AWS, Google Cloud Platform, Azure, Kubernetes, HashiCorp Vault ve paket kayıt defteri token'larını da hedef aldı.

Kampanya yalnızca TanStack kullanıcılarını etkilemekle kalmadı. TeamPCP ayrıca OpenSearch npm sürümlerini, PyPI mistralai 2.4.6, PyPI guardrails-ai 0.10.1 ve @squawk paketlerini de ele geçirdi. Mini Shai-Hulud kampanyası özellikle tehlikeliydi çünkü TeamPCP, TanStack'in kendi CI/CD hattını tehlikeye attı; bu sayede kötü amaçlı paketler geçerli ve kriptografik olarak imzalanmış görünüyordu. Bu, alt geliştiricilerin ortamlarında çalıştırdıkları güvenlik filtrelerini atlamalarını sağladı.

Teknik Analiz

Grafana Labs olayı, yazılım tedarik zinciri güvenliğinin ne kadar kritik olduğunu bir kez daha gösteriyor. CI/CD süreçlerinde kullanılan token'ların düzenli olarak döndürülmesi, en az ayrıcalık ilkesinin uygulanması ve üçüncü taraf paketlerin sıkı denetimden geçirilmesi, bu tür saldırılara karşı alınabilecek önlemler arasında yer alıyor. Özellikle açık kaynak ekosisteminde, paket yöneticileri ve geliştiriciler, tedarik zinciri saldırılarına karşı sürekli tetikte olmalı ve güncellemeleri dikkatle incelemelidir.

Kaynak: infosecurity-magazine.com

Paylaş: