Grafana Labs Veri İhlali: TanStack Tedarik Zinciri Saldırısından Kaynaklandı Siber Güvenlik

Grafana Labs Veri İhlali: TanStack Tedarik Zinciri Saldırısından Kaynaklandı

Grafana Labs, kod tabanına yetkisiz erişimin TanStack'e yönelik Mini Shai-Hulud tedarik zinciri saldırılarıyla bağlantılı olduğunu duyurdu.

Popüler açık kaynak analitik yazılım geliştiricisi Grafana Labs, yakın zamanda yaşadığı veri ihlali ve şantaj olayının, TanStack paketlerini hedef alan Mini Shai-Hulud kampanyasından kaynaklandığını açıkladı. Yapay zeka destekli görselleştirme uygulaması Grafana'nın geliştiricisi olan şirket, 17 Mayıs'ta GitHub ortamına erişen yetkisiz bir saldırganın kod tabanını indirdiğini tespit ettiğini duyurmuştu.

Bu hafta yapılan güncellemede Grafana Labs, olayla ilgili daha fazla detay paylaştı. Kötü niyetli aktiviteyi ilk olarak 11 Mayıs'ta fark ettiklerini ve bunu TanStack tedarik zinciri saldırılarına bağladıklarını belirtti. TeamPCP tehdit aktörleri, CI/CD ortamlarını (GitHub Actions dahil) hedef alan kimlik bilgisi çalan kötü amaçlı yazılımlarla düzinelerce TanStack npm paketini ele geçirmişti.

Bu durum, kötü amaçlı bir paket yayınlandığında Grafana'nın CI/CD ortamının otomatik olarak onu tüketmesine ve bilgi hırsızı yazılımın GitHub iş akışı token'larını çalmak için çalışmasına yol açtı. Grafana, 'Analiz yaptık ve çok sayıda GitHub iş akışı token'ını hızla döndürdük, ancak gözden kaçan bir token, saldırganların GitHub depolarımıza erişmesine neden oldu' ifadelerini kullandı. Yapılan inceleme, başlangıçta etkilenmediği düşünülen belirli bir GitHub iş akışının aslında tehlikeye atıldığını doğruladı.

Gelecekte Ne Bekleniyor?

Grafana Labs, 'Fidye çetesi bizimle iletişime geçer geçmez, otomasyon token'larını döndürme, gelişmiş izleme uygulama, 11 Mayıs olayından bu yana tüm commit'leri denetleme ve GitHub güvenlik duruşumuzu önemli ölçüde sertleştirme gibi azaltma çabalarını başlattık' dedi. Ayrıca TeamPCP'nin GitHub depolarından kod tabanının yanı sıra ek 'iç operasyonel bilgiler ve diğer detayları' da aldığını belirtti. Bu bilgiler arasında profesyonel ilişki bağlamında paylaşılan iş iletişim adları ve e-posta adresleri yer alıyor, ancak üretim sistemlerinden veya Grafana Cloud platformundan alınan bilgiler bulunmuyor.

Sistem Güvenliği

Şirket, bu aşamada müşteri üretim sistemlerinin veya operasyonlarının tehlikeye atıldığına dair herhangi bir belirti olmadığını yineledi. Mini Shai-Hulud kampanyası, TanStack kullanıcılarının ötesine geçerek OpenSearch npm sürümlerini, PyPI mistralai 2.4.6 ve PyPI guardrails-ai 0.10.1 gibi paketleri de etkiledi. Bu kampanya, TeamPCP'nin TanStack'in kendi CI/CD hattını ele geçirmesi nedeniyle özellikle tehlikeliydi; kötü amaçlı paketler geçerli ve kriptografik olarak imzalı görünerek geliştiricilerin güvenlik filtrelerini atlattı.

Bu olay, Mini Shai-Hulud kampanyasının yarattığı uzun vadeli etkilerin sadece bir örneği. TanStack, tehdit aktörlerinin 11 Mayıs'ta 42 @tanstack/* paketi üzerinde 84 kötü amaçlı sürüm yayınladığını açıkladı. Bilgi hırsızı yazılım yalnızca GitHub Actions token'larını değil, aynı zamanda GitLab, CircleCI, AWS, Google Cloud Platform, Azure, Kubernetes, HashiCorp Vault ve paket kayıt defteri token'larını da hedef aldı. Grafana Labs'ın yaşadığı bu ihlal, tedarik zinciri saldırılarının ne kadar geniş kapsamlı olabileceğini ve şirketlerin CI/CD süreçlerini sürekli olarak izlemesi gerektiğini bir kez daha gözler önüne serdi.

Kaynak: infosecurity-magazine.com

Paylaş: