Mini Shai-Hulud solucanı, en büyük tek kayıt defteri saldırı dalgalarından birinde yeniden ortaya çıktı. Socket Tehdit Araştırma Ekibi'nin yeni analizine göre, saldırı 19 Mayıs'ta saat 01:56 UTC'de başladı ve yaklaşık bir saat içinde 323 farklı pakette 639 kötü amaçlı sürüm yayınlandı. Saldırı, AntV veri görselleştirme ekosistemine bağlı npm paketlerini hedef aldı. Microsoft, daha önce Mini Shai-Hulud kampanyası için Defender koruma rehberi yayınlamıştı ve 19 Mayıs Salı günü X üzerinden yeni tedarik zinciri saldırısına ilişkin kendi soruşturmasından güncellemeler sağladı.
Etkilenen paketler arasında echarts-for-react, size-sensor, @antv/scale ve timeago.js gibi yüksek indirme sayısına sahip npm bağımlılıkları bulunuyor. Tehlikeliye atılan npm bakıcı hesabı 'atool', 500'den fazla pakette yayınlama yetkisine sahipti. Her kötü amaçlı sürüm, package.json dosyasına 498 KB'lık gizlenmiş bir Bun paketini çalıştıran bir preinstall kancası ekledi. Bu paket, bulut kimlik bilgilerini, CI/CD tokenlarını, SSH anahtarlarını, Kubernetes servis hesabı tokenlarını ve yerel parola yöneticisi kasalarını topladı.
Payload, çalınan verileri, Dune evreni terminolojisiyle adlandırılmış ve 'Shai-Hulud: Here We Go Again' ifadesini içeren ters çevrilmiş bir işaretleyiciye sahip açıklamalarla oluşturulan genel GitHub depoları aracılığıyla sızdırdı. Upwind güvenlik araştırma lideri Avital Harel, operasyonun olgun ve savunucu farkındalığı yüksek olduğunu, saldırganların kötü amaçlı yazılımı tespit etmek ve analiz etmek için kullanılan araçları öngördüğünü söyledi. 'Kampanya sadece yayılmak için değil, aynı zamanda analizi yavaşlatmak için de inşa edildi,' dedi.
Sistem Güvenliği
Socket, ticaretin 'yüksek hacimli npm tehlikeye atma modeli' ile tutarlı olduğunu belirtti. Tüm dalgalarda şirket, npm, PyPI ve Composer'ı kapsayan 502 benzersiz pakette 1055 tehlikeye atılmış sürüm tespit etti. Kampanya işaretçilerini içeren 2500'den fazla GitHub deposunu kaydeden StepSecurity, daha geniş etkinliği TeamPCP olarak bilinen finansal motivasyonlu bir kümeye atfetti.
AntV dalgası, önceki dalgalarda kullanılan bir payload dağıtım tekniğini genişletti. Kötü amaçlı sürümlerin büyük çoğunluğu, bu kez ilgisiz bir güvenilir depo olan antvis/G2'ye yerleştirilmiş ve o projenin gerçek bir bakıcısıyla eşleşen sahte yazarlıkla oluşturulmuş yetim commit'lere işaret eden bir optionalDependencies girişi ekledi. GitHub, commit'leri bir deponun fork ağı boyunca paylaşılan bir nesne havuzunda saklar ve npm'in github: çözümleyicisi, bir commit'in hangi fork'ta olduğunu kontrol etmeden commit hash'i ile getirir. Bu, bir saldırganın antvis/G2'nin kendi fork'una bir commit göndermesine ve bunun ana depo URL'sinden sunulmasına olanak tanır.
Siber güvenlik firması Semgrep'in kurucusu ve CEO'su Isaac Evans, bu kaskadın bağımlılıkların nasıl güvenildiği konusunda yapısal bir sorunu yansıttığını söyledi. 'Yıllardır güvendiğiniz bir paket aniden dağıtım mekanizması haline gelebilir,' diye uyardı. Snyk, etkilenen kuruluşlara kurulum sırasında erişilebilen tüm sırların tehlikeye atılmış olarak kabul edilmesini tavsiye etti. Önerilen adımlar arasında bağımlılıkların 19 Mayıs'tan önce yayınlanan sürümlere sabitlenmesi, etkilenen derleme ortamlarına maruz kalan tüm kimlik bilgilerinin döndürülmesi ve GitHub hesaplarının kampanyanın Dune temalı adlandırma düzeni ve ters çevrilmiş dize işaretleyicisiyle eşleşen yetkisiz depo oluşturma açısından denetlenmesi yer alıyor.
Kaynak: infosecurity-magazine.com