Mini Shai-Hulud Kampanyası TanStack NPM Paketlerini Hedef Aldı Siber Güvenlik

Mini Shai-Hulud Kampanyası TanStack NPM Paketlerini Hedef Aldı

Mini Shai-Hulud kampanyası, TanStack npm paketlerini hedef alan büyük bir tedarik zinciri saldırısıyla yüzlerce kötü amaçlı sürüm yayınladı.

Mini Shai-Hulud kampanyasının yeni bir dalgası, TanStack npm paketlerini hedef alarak geliştirici ekosistemlerini etkileyen geniş çaplı bir tedarik zinciri saldırısının parçası oldu. UiPath, Mistral AI, OpenSearch ve PyPI ile bağlantılı paketleri de etkileyen bu saldırı, Nisan ayında SAP ile ilgili paketleri hedef alarak başladı ve Mayıs ortasında en büyük dalgasına ulaştı. Saldırganlar, meşru yayınlama hatlarını ele geçirerek yüzlerce kötü amaçlı paket sürümü yayınladı.

Socket tarafından yapılan yeni analize göre, TanStack ad alanındaki 84 npm paketi, GitHub Actions gibi sürekli entegrasyon sistemlerini hedef alan kimlik bilgisi çalma amaçlı kötü amaçlı yazılımla değiştirildi. En az bir etkilenen paket olan @tanstack/react-router, haftada 12 milyondan fazla indirme alıyor. TanStack, saldırganın 11 Mayıs 2026'da 19:20 ile 19:26 UTC arasında 42 @tanstack/* paketinde 84 kötü amaçlı sürüm yayınladığını açıkladı.

Saldırı, pull_request_target 'Pwn Request' desenini, GitHub Actions önbellek zehirlemesini ve çalışan işlem belleğinden OpenID Connect (OIDC) token'ının çalınmasını zincirleme olarak kullandı. TanStack, npm token'larının çalınmadığını ve npm yayınlama iş akışının tehlikeye girmediğini belirtti. Kötü amaçlı paket sürümleri, ağır şekilde gizlenmiş 2.3 MB boyutunda bir router_init.js dosyası içeriyordu. Socket, bu dosyanın daemonlaşma, GitHub ile ilgili ortam değişkenlerine erişim, geçici dosya hazırlama ve uzaktan yönlendirme davranışı sergilediğini tespit etti.

Kampanya daha sonra TanStack'in ötesine geçti. Socket, OpenSearch npm sürümleri, PyPI mistralai 2.4.6, PyPI guardrails-ai 0.10.1 ve @squawk paketlerinin de tehlikeye atıldığını bildirdi. GitHub Advisory Database, TanStack sorununu kritik olarak değerlendirdi ve 11 Mayıs 2026'da etkilenen bir sürümü yükleyen herhangi bir geliştirici veya sürekli entegrasyon ortamının tehlikeye girdiğini kabul etmesi gerektiği uyarısında bulundu. Kullanıcılara, yükleme işleminden erişilebilen kimlik bilgilerini döndürmeleri ve etkilenen ana bilgisayarlardan gelen bulut denetim günlüklerini incelemeleri önerildi.

Paylaş: