Siber güvenlik araştırmacıları, Go ekosistemine yayılırken bile yeni bir dizi npm paketini tehlikeye atan Mini Shai-Hulud, Miasma ve Hades kötü amaçlı yazılım ailesiyle bağlantılı tedarik zinciri saldırısının bir başka evrimini işaretledi.
Socket, "En son etkinlik, LeoPlatform ve RStreams paketlerini etkileyen kötü niyetli npm sürümlerini, GitHub Actions iş akışının kötüye kullanılmasını ve Verana Blockchain projesini içeren ilgili Go modülü uzlaşmasını içeriyor" dedi.
Kampanyanın nihai hedefi, daha önce olduğu gibi, geliştirici veya bakımcı kimlik bilgilerini toplamak ve çalınan verileri paket kayıtlarına, depolara ve güvenilir geliştirici iş akışlarına yaymak için silah haline getirmektir.
Etkilenen paketlerin listesi aşağıdadır -
leo-ö[email protected]
leo-konektö[email protected]
leo-konektö[email protected]
leo-konektö[email protected]
leo-konektö[email protected]
leo-konektör-kırmızıya [email protected]
github.com/verana-labs/[email protected] (Git)
LeoPlatform ("czirker") ile ilişkili bir npm geliştirici hesabının, saldırıyı etkinleştirmek için muhtemelen sızdırılmış kimlik bilgileri yoluyla ihlal edildiğinden şüpheleniliyor; bu, tehdit aktörlerinin, altı saniyelik bir süre içinde truva atı haline getirilmiş sürümleri göndermek için bakımcıya ait bir npm belirtecinden yararlanmasına olanak tanıyor.
Yeni dalga, önceki kampanyalarda gözlemlenen taktiklerin birçoğundan yararlanıyor; bunlar arasında npm kayıt defteri zehirlenmesi, Binding.gyp yükleme sırasında yürütme, Bun aşamalı JavaScript kötü amaçlı yazılımı, GitHub ölü bırakma altyapısı, GitHub Eylemleri gizli hırsızlığı, IDE ve AI kodlama asistanı kalıcılığı ve şifreli kimlik bilgilerinin sızması yer alıyor.
Kötü amaçlı npm paketleri, tipik olarak package.json dosyasına eklenen bir yaşam döngüsü kancasına sahip olmasa da, kurulum sırasında rastgele kod yürütmek için bir bağlama.gyp dosyası içerir; bu, mevcut değilse Bun çalışma zamanını indirip yükleyen bir JavaScript yükleyicinin başlatılmasına ve ardından sırların, kimlik bilgilerinin ve belirteçlerin toplanmasından sorumlu hırsız yükünün başlatılmasına neden olur.
Kötü amaçlı yazılım, bir Rus yerel ayar anahtarı içermesinin ve uç nokta güvenlik yazılımının varlığını denetlemenin yanı sıra, koşucunun belleğinden CI/CD ortamı sırlarını yakalamak için "Run Copilot" adlı bir iş akışını bırakır. Daha sonra bilgiler, "Pekala Bakalım İşe Yarayacak mı?" açıklamasıyla birlikte halka açık bir GitHub deposuna yüklenir. Yazım itibariyle açıklamaya uyan 559 depo bulunmaktadır.
Token geçiş işaretçisi de en son yinelemede bir değişikliğe tanık oldu. Daha önceki dalgalar "IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner" gibi dizeler kullanırken, mevcut yapıt, "morina balığı/semantik-serbest bırakma eylemi" GitHub Eyleminin son uzlaşmasıyla bağlantılı olarak GitHub ölü bırakma çözümleyicisi olarak kullanılan bir dize olan "RevokeAndItGoesKaboom"u kullanıyor.
StepSecurity, "24 Haziran 2026 15:39:06 UTC'de, bir saldırgan morina balığı/semantik yayın eylemi için kötü niyetli bir taahhüdü zorla gönderdi ve birkaç sürüm etiketini kötü niyetli taahhüde işaret edecek şekilde yeniden yönlendirdi" dedi.
"Bu zaman damgasından sonra bu etiketlerden birine karşı çalışan herhangi bir iş akışı, saldırganın yükünü doğrudan GitHub Actions çalıştırıcısı içinde yürütür. Yük, GitHub OIDC belirteçlerini çalar, bilinen GitHub belirteç modelleriyle eşleşen Kişisel Erişim Belirteçlerini toplar, toplanan materyali AES-128-GCM ile şifreler ve çalınan kimlik bilgileriyle erişilebilen diğer depolara bir arka kapı yaymaya çalışır."
Bu, tüm bu olayların aynı operasyonel kümeye veya takım kökenine bağlı olduğunu gösterir. Endor Labs ve OX Security'ye göre kötü amaçlı yazılım, kötü amaçlı yazılımın Hades versiyonunu almak ve yürütmek için "firedalazer" dizesiyle eşleşen taahhütler için GitHub'u her saat başı yokluyor.
"Leo/RStreams paket seti eşitlendi
JFrog şöyle konuştu: "Buradaki bir uzlaşma, geliştirici iş istasyonlarını, CI/CD sistemlerini, AWS destekli uygulamaları, GitHub depolarını, paket yayınlama kimlik bilgilerini ve alt paket tüketicilerini açığa çıkarabilir."
"Dikkat çeken hikaye, yükün tamamen yeni olması değil. Shai-Hulud, eski tespitleri daha az etkili hale getirmeye yetecek kadar göstergeyi değiştirirken meşru paket ekosistemleri arasında ilerlemeye devam ediyor."
Dahası, Verana GitHub'un zehirlenmesi kampanyanın kapsamını npm'nin ötesine taşıyor. Bununla birlikte saldırı, yerel Go modülü çözünürlüğüne veya yapı mantığına dayanmadan, kötü amaçlı npm paketlerinde gözlemlenen Miasma yürütme modelinin aynısını kullanıyor.
Socket, "Npm paketlerinden farklı olarak bu örnek, bağlama.gyp'ye dayanmıyor" diye açıkladı. "Risk, kaynak deposunun yürütülmesidir: havuzu güvenilir bir IDE veya AI kodlama asistanı ortamında klonlayan veya açan bir geliştirici, proje yapılandırması yoluyla yükü tetikleyebilir."
"Bu, daha büyük kampanya temasını güçlendiriyor: Miasma, yalnızca paket yöneticisi yükleme kancalarını değil, geliştirici iş akışlarını hedefleyerek paket ekosistemleri arasında hareket ediyor."
Güncelleme
LeoPlatform ve RStreams npm paketlerini hedefleyen Miasma Mini Shai-Hulud kampanyası, @immobiliarelabs kapsamı altında yayınlanan paketleri de hedef alarak GitLab için kullanılan Backstage eklentilerini ve npm kayıt defterindeki LDAP kimlik doğrulama paketlerini hedef aldı. Etkilenen paketlerin listesi aşağıdadır -
@immobiliarelabs/backstage-plugin-gitlab
@immobiliarelabs/backstage-plugin-gitlab-backend
@immobiliarelabs/backstage-plugin-ldap-auth
@immobiliarelabs/backstage-plugin-ldap-auth-backend
"Codfish/semantic-release-action" GitHub Eyleminin ele geçirilmesinin, saldırganın kötü amaçlı @immobiliarelabs paket sürümlerini yayınlamak için erişim elde etmesini sağlayan yukarı akış erişim yolu olabileceğinden şüpheleniliyor.
Socket, "Yeni ImmobiliareLabs etkinliği aynı daha geniş kampanya modelini takip ediyor: güvenilir geliştirici altyapısını tehlikeye atmak, kötü amaçlı paket sürümleri yayınlamak, Bun aracılığıyla JavaScript kötü amaçlı yazılımları hazırlamak, geliştirici ve CI/CD sırlarını çalmak ve çalınan erişimi daha fazla yayılmak için kullanmak" dedi.
"Bu, kampanyanın başka bir meşru açık kaynak bakım kapsamına genişletilmesidir; bu kez dahili geliştirici portallarına, kaynak kontrolü entegrasyonlarına ve kimlik doğrulama iş akışlarına yakın konumdaki Backstage eklentilerini içerir."
(Hikaye 30 Haziran 2026'da yayınlandıktan sonra en son gelişmeleri yansıtacak şekilde güncellendi.)