Mini Shai-Hulud solucanı bugüne kadarki en büyük tek kayıt dalgalarından birinde yeniden ortaya çıktı ve yaklaşık bir saat süren koordineli bir patlamayla AntV veri görselleştirme ekosistemine bağlı yüzlerce npm paketini vurdu.
Socket'in Tehdit Araştırma Ekibi tarafından yapılan yeni analize göre, saldırı 19 Mayıs 01:56 UTC civarında başladı ve 639 kötü amaçlı sürümü 323 benzersiz pakete aktardı ve yaklaşık bir saat sonra durdu.
Daha önce daha geniş Mini Shai-Hulud kampanyası için Defender koruma kılavuzunu yayınlayan Microsoft, 19 Mayıs Salı günü X aracılığıyla yeni tedarik zinciri saldırısına ilişkin kendi soruşturmasından güncellemeler de sağladı.
Etkilenen paketlerden bazıları, diğerlerinin yanı sıra echarts-for-react, size-sensor, @antv/scale ve timeago.js dahil olmak üzere yüksek indirilen npm bağımlılıklarıdır. Güvenliği ihlal edilen npm bakımcı hesabı "atool", 500'den fazla paketin yayın hakkını elinde tutuyordu.
Ele Geçirilmiş Hesap, Tanıdık Başucu Kitabı
Uzmanların Görüşleri
Her kötü amaçlı sürüm, package.json'a 498 KB'lik gizlenmiş bir Bun paketi yürüten, bulut kimlik bilgilerini, CI/CD belirteçlerini, SSH anahtarlarını, Kubernetes hizmet hesabı belirteçlerini ve yerel şifre yöneticisi kasalarını toplayan bir ön kurulum kancası ekledi.
Yük, çalıntı tokenlar kullanılarak oluşturulan halka açık GitHub depoları aracılığıyla çalınan verileri sızdırdı; adını Dune evren terminolojisinden alan ve "Shai-Hulud: Yine Başlıyoruz" yazan ters bir işaretçi içeren açıklamalar.
Sistem Güvenliği
Upwind'in güvenlik araştırma lideri Avital Harel, saldırganların kötü amaçlı yazılımları tespit etmek ve analiz etmek için kullanılan araçları tahmin etmesiyle operasyonun olgun ve savunma odaklı göründüğünü söyledi.
"Kampanya sadece yayılmak için değil, aynı zamanda analizi yavaşlatmak için de tasarlandı" diye açıkladı.
Önemli Gelişmeler
Bu kampanya hakkında daha fazlasını okuyun: Mini Shai-Hulud, TanStack npm Paketlerini Kullanıyor
Socket, ticari aracı "koordineli kötü amaçlı yayınları içeren yüksek hacimli npm uzlaşma modeliyle" tutarlı olarak tanımladı.
Şirket, tüm dalgalarda npm, PyPI ve Composer'ı kapsayan 502 benzersiz pakette 1055 güvenliği ihlal edilmiş sürümü takip etti.
Kampanya işaretleyicilerini içeren 2500'den fazla GitHub deposunu kaydeden StepSecurity, daha geniş aktiviteyi TeamPCP olarak bilinen finansal motivasyonlu bir kümeye bağladı.
Detaylar ve Etkileri
Imposter Taahhütleri Aracılığıyla Güvenilir Repo Barındırma
AntV dalgası, daha önceki dalgalarda kullanılan bir yük taşıma tekniğini genişletti. Kötü amaçlı sürümlerin büyük çoğunluğu, yetim taahhütlere işaret eden isteğe bağlı bir Bağımlılıklar girdisi enjekte eder; bu sefer, daha yakından incelemeyi engellemek için sahte yazarlık, o projenin gerçek koruyucusuyla eşleşen, alakasız güvenilir bir depo olan antvis/G2'ye yerleştirilir.
GitHub, taahhütleri bir deponun çatal ağı üzerinden paylaşılan bir nesne havuzunda saklar ve npm'nin github: çözümleyicisi, bir taahhüdün hangi çatalda gerçekleştiğini kontrol etmeden taahhüt karması ile getirir. Bu, saldırganın kendi antvis/G2 çatalına bir taahhütte bulunmasını ve bunun ana deponun URL'sinden sunulmasını sağlar.
Yazılım güvenliği firması Semgrep'in kurucusu ve CEO'su Isaac Evans, bu aşamanın bağımlılıklara nasıl güvenildiğiyle ilgili yapısal bir sorunu yansıttığını söyledi.
"Yıllardır güvendiğiniz bir paket aniden teslimat mekanizması haline gelebilir" diye uyardı.
Snyk, etkilenen kuruluşların, kuruluş kapsamlı GitHub Eylemleri sırları ve OIDC belirteçleri de dahil olmak üzere, kurulum sırasında erişilebilen tüm sırları ele geçirilmiş olarak değerlendirmesini tavsiye etti.
Gelecekte Ne Bekleniyor?
Önerilen adımlar arasında bağımlılıkların 19 Mayıs'tan önce yayınlanan sürümlere sabitlenmesi, etkilenen yapı ortamlarına maruz kalan tüm kimlik bilgilerinin döndürülmesi ve kampanyanın Dune temalı adlandırma modeli ve ters dize açıklama işaretçisiyle eşleşen yetkisiz depo oluşturulması açısından GitHub hesaplarının denetlenmesi yer alıyor.