Grafana Labs, Yazılım Tedarik Zinciri Saldırısında Kod Sızıntısını Doğruladı Siber Güvenlik

Grafana Labs, Yazılım Tedarik Zinciri Saldırısında Kod Sızıntısını Doğruladı

Grafana Labs, TanStack paketlerine yönelik Mini Shai-Hulud kampanyası sonucu GitHub ortamına sızan bir tehdit aktörünün kod tabanını indirdiğini ve fi

Popüler açık kaynak analitik yazılım geliştiricisi Grafana Labs, geçtiğimiz günlerde yaşanan bir veri ihlali ve fidye olayının, TanStack paketlerini hedef alan Mini Shai-Hulud kampanyasından kaynaklandığını duyurdu. Yapay zeka destekli görselleştirme uygulaması Grafana'nın geliştiricisi olan şirket, 17 Mayıs'ta yetkisiz bir saldırganın GitHub ortamına erişerek kod tabanını indirdiğini tespit ettiğini bildirmişti. Şirket bu hafta yaptığı güncellemede, kötü niyetli faaliyeti ilk olarak 11 Mayıs'ta fark ettiğini ve bunu TanStack tedarik zinciri saldırılarına bağladığını açıkladı.

TeamPCP tehdit aktörleri, CI/CD ortamlarını (GitHub Actions dahil) hedef alan kimlik bilgisi çalan kötü amaçlı yazılımlarla düzinelerce TanStack npm paketini ele geçirdi. Bu, kötü amaçlı bir paket yayınlandığında Grafana'nın CI/CD ortamının otomatik olarak onu tüketmesi ve bilgi hırsızı yazılımın GitHub iş akışı token'larını sızdırmak üzere çalıştırılması anlamına geliyordu. Grafana, 'Analiz yaptık ve önemli sayıda GitHub iş akışı token'ını hızla döndürdük, ancak gözden kaçan bir token, saldırganların GitHub depolarımıza erişmesine yol açtı' ifadelerini kullandı. Daha sonra yapılan inceleme, başlangıçta etkilenmediği düşünülen belirli bir GitHub iş akışının aslında tehlikeye atıldığını doğruladı.

Grafana Labs, 'Fidye çetesiyle temasa geçtiğimiz anda, otomasyon token'larını döndürme, gelişmiş izleme uygulama, 11 Mayıs olayından bu yana tüm commit'leri denetleme ve GitHub güvenlik duruşumuzu önemli ölçüde sertleştirme gibi hafifletme çabaları başlattık' dedi. Şirket ayrıca TeamPCP'nin GitHub depolarından kod tabanının yanı sıra ek 'iç operasyonel bilgiler ve diğer ayrıntıları' aldığını paylaştı. Bu bilgiler arasında profesyonel ilişki bağlamında paylaşılan iş iletişim adları ve e-posta adresleri yer alıyor; üretim sistemlerinden veya Grafana Cloud platformundan çekilen bilgiler değil. Şirket, bu aşamada müşteri üretim sistemlerinin veya operasyonlarının tehlikeye atıldığına dair herhangi bir belirti olmadığını yineledi.

Bu olay, Mini Shai-Hulud kampanyasından kaynaklanan çok sayıda alt kurbanın sadece bir örneği. TanStack, tehdit aktörlerinin 11 Mayıs'ta 42 @tanstack/* paketi arasında 84 kötü amaçlı sürüm yayınladığını söyledi. Bilgi hırsızı yalnızca GitHub Actions token'larını değil, aynı zamanda GitLab, CircleCI, AWS, Google Cloud Platform, Azure, Kubernetes, HashiCorp Vault ve paket kayıt defteri token'larını da hedef aldı. Kampanya sadece TanStack kullanıcılarını etkilemekle kalmadı; TeamPCP ayrıca OpenSearch npm sürümlerini, PyPI mistralai 2.4.6, PyPI guardrails-ai 0.10.1 ve diğer @squawk paketlerini de hedef aldı. Mini Shai-Hulud kampanyası özellikle tehlikeliydi çünkü TeamPCP, TanStack'in kendi CI/CD hattını ele geçirdi; bu, kötü amaçlı paketlerin geçerli ve kriptografik olarak imzalı görünmesi anlamına geliyordu. Bu sayede alt geliştiricilerin ortamlarında çalıştırabilecekleri güvenlik filtrelerini atlattılar.

Paylaş: