Açık kaynak analitik yazılım geliştiricisi Grafana Labs, yakın zamanda yaşanan bir veri ihlali ve fidye girişiminin, TanStack paketlerini hedef alan Mini Shai-Hulud kampanyasından kaynaklandığını duyurdu. Yapay zeka destekli görselleştirme uygulaması Grafana'nın geliştiricisi olan şirket, 17 Mayıs'ta GitHub ortamına yetkisiz bir saldırganın erişerek kod tabanını indirdiğini tespit ettiğini bildirmişti. Bu hafta yapılan güncellemeyle, olayın 11 Mayıs'ta fark edildiği ve TanStack tedarik zinciri saldırılarıyla bağlantılı olduğu açıklandı.
TeamPCP tehdit aktörleri, CI/CD ortamlarını ve GitHub Actions'ı hedef alan kimlik bilgisi çalan kötü amaçlı yazılımlarla düzinelerce TanStack npm paketini ele geçirdi. Grafana Labs, bu paketlerin otomatik olarak tüketilmesi sonucu infostealer'ın çalıştığını ve GitHub iş akışı token'larının sızdırıldığını belirtti. Şirket, 'Analiz yaptık ve önemli sayıda GitHub iş akışı token'ını hızla döndürdük, ancak gözden kaçan bir token, saldırganların GitHub depolarımıza erişmesine yol açtı' ifadelerini kullandı. Daha sonra yapılan incelemede, başlangıçta etkilenmediği düşünülen belirli bir GitHub iş akışının aslında tehlikeye atıldığı doğrulandı.
Grafana Labs, fidye çetesi tarafından temas kurulduğunda hemen önlem aldıklarını ve otomasyon token'larını döndürme, gelişmiş izleme uygulama, 11 Mayıs olayından bu yana tüm commit'leri denetleme ve GitHub güvenlik duruşunu önemli ölçüde güçlendirme gibi adımlar attıklarını bildirdi. Ayrıca TeamPCP'nin kod tabanının yanı sıra GitHub depolarından 'iş bağlamında değiş tokuş edilen iş iletişim adları ve e-posta adresleri' gibi ek bilgileri de çaldığı belirtildi. Şirket, müşteri üretim sistemlerinin veya operasyonlarının tehlikeye atıldığına dair henüz bir kanıt olmadığını yineledi.
Detaylar ve Etkileri
Mini Shai-Hulud kampanyası, yalnızca TanStack kullanıcılarını değil, OpenSearch npm sürümleri, PyPI mistralai 2.4.6, PyPI guardrails-ai 0.10.1 ve @squawk paketlerini de hedef alarak geniş bir etki yarattı. TeamPCP'nin TanStack'in kendi CI/CD hattını ele geçirmesi, kötü amaçlı paketlerin geçerli ve kriptografik olarak imzalanmış görünmesini sağlayarak güvenlik filtrelerini atlatmasına olanak tanıdı. Bu olay, açık kaynak tedarik zinciri saldırılarının ne kadar tehlikeli olabileceğini bir kez daha gözler önüne serdi.