Mini Shai-Hulud Solucanı AntV Ekosisteminde 700+ Paketi Vurdu: npm Tedarik Zinciri Saldırısı Detayları Linux

Mini Shai-Hulud Solucanı AntV Ekosisteminde 700+ Paketi Vurdu: npm Tedarik Zinciri Saldırısı Detayları

Mini Shai-Hulud solucanı, AntV ekosistemindeki 323 npm paketine sızarak 639 kötü amaçlı sürüm yayınladı. Saldırı, bulut kimlik bilgilerini ve SSH anah

Mini Shai-Hulud solucanı, şimdiye kadarki en büyük tek kayıt dalgasıyla AntV veri görselleştirme ekosistemine bağlı yüzlerce npm paketini hedef alarak yaklaşık bir saat süren koordineli bir saldırı düzenledi. Socket Tehdit Araştırma Ekibi'nin analizine göre, saldırı 19 Mayıs'ta 01:56 UTC'de başladı ve bir saat içinde 323 benzersiz pakette 639 kötü amaçlı sürüm yayınladı. Microsoft, daha önce Mini Shai-Hulud kampanyası için Defender koruma kılavuzu yayınlamıştı ve 19 Mayıs Salı günü X üzerinden kendi soruşturmasından güncellemeler sağladı.

Etkilenen paketler arasında yüksek indirme sayısına sahip echarts-for-react, size-sensor, @antv/scale ve timeago.js gibi bağımlılıklar bulunuyor. Saldırıya uğrayan npm bakıcı hesabı 'atool', 500'den fazla pakette yayınlama yetkisine sahipti. Her kötü amaçlı sürüm, package.json dosyasına 498 KB'lık gizlenmiş bir Bun paketini çalıştıran bir preinstall kancası ekleyerek bulut kimlik bilgilerini, CI/CD token'larını, SSH anahtarlarını, Kubernetes servis hesabı token'larını ve yerel parola yöneticisi kasalarını topladı.

Çalınan veriler, Dune evreni terminolojisinden adlandırılmış ve 'Shai-Hulud: Here We Go Again' yazan ters çevrilmiş bir işaretçi içeren açıklamalarla, çalıntı token'lar kullanılarak oluşturulan genel GitHub depoları aracılığıyla sızdırıldı. Upwind güvenlik araştırma lideri Avital Harel, operasyonun olgun ve savunma bilincine sahip olduğunu, saldırganların kötü amaçlı yazılımları tespit etmek ve analiz etmek için kullanılan araçları öngördüğünü belirtti. 'Kampanya sadece yayılmak için değil, aynı zamanda analizi yavaşlatmak için de inşa edilmişti' dedi.

Sonuç ve Değerlendirme

Socket, taktikleri 'koordineli kötü amaçlı yayınları içeren yüksek hacimli npm güvenlik açığı modeli' ile tutarlı olarak tanımladı. Tüm dalgalar boyunca şirket, npm, PyPI ve Composer'ı kapsayan 502 benzersiz pakette 1055 güvenliği ihlal edilmiş sürüm izledi. StepSecurity, kampanya işaretçileri içeren 2500'den fazla GitHub deposu kaydetti ve daha geniş etkinliği TeamPCP olarak bilinen finansal motivasyonlu bir kümeye atfetti.

Teknik Analiz

AntV dalgası, önceki dalgalarda kullanılan bir yük dağıtım tekniğini genişletti. Kötü amaçlı sürümlerin büyük çoğunluğu, bu kez ilgisiz bir güvenilir depo olan antvis/G2'ye ekilen, sahte yazarlıkla gerçek bir bakıcıya aitmiş gibi görünen ve daha yakından incelemeyi caydıran yetim commit'lere işaret eden bir optionalDependencies girişi ekledi. GitHub, commit'leri bir deponun fork ağı boyunca paylaşılan bir nesne havuzunda saklar ve npm'in github: çözümleyicisi, bir commit'in hangi fork'ta olduğunu kontrol etmeden commit hash'ine göre getirir.

Detaylar ve Etkileri

Semgrep'in kurucusu ve CEO'su Isaac Evans, bu durumun bağımlılıkların nasıl güvenildiğine dair yapısal bir sorunu yansıttığını belirtti: 'Yıllardır güvendiğiniz bir paket aniden dağıtım mekanizması haline gelebilir.' Snyk, etkilenen kuruluşlara kurulum sırasında erişilebilen herhangi bir sırrın, kuruluş kapsamlı GitHub Actions sırları ve OIDC token'ları da dahil olmak üzere, güvenliği ihlal edilmiş olarak kabul edilmesini tavsiye etti. Önerilen adımlar arasında bağımlılıkları 19 Mayıs'tan önce yayınlanan sürümlere sabitlemek, etkilenen derleme ortamlarına maruz kalan tüm kimlik bilgilerini döndürmek ve GitHub hesaplarını kampanyanın Dune temalı adlandırma deseniyle eşleşen yetkisiz depo oluşturma açısından denetlemek yer alıyor.

Kaynak: infosecurity-magazine.com

Paylaş: