Mini Shai-Hulud Solucanı AntV Ekosistemindeki Yüzlerce npm Paketini Vurdu Linux

Mini Shai-Hulud Solucanı AntV Ekosistemindeki Yüzlerce npm Paketini Vurdu

Mini Shai-Hulud solucanı, AntV ekosistemindeki 323 npm paketine bulaşarak, bulut kimlik bilgileri ve SSH anahtarlarını çaldı. Saldırı, sahte commit'le

Mini Shai-Hulud solucanı, bugüne kadarki en büyük tek kayıt dalgalarından birinde yeniden ortaya çıktı ve AntV veri görselleştirme ekosistemine bağlı yüzlerce npm paketini yaklaşık bir saat süren koordineli bir saldırıyla vurdu. Socket Tehdit Araştırma Ekibi'ne göre saldırı, 19 Mayıs'ta 01:56 UTC'de başladı ve 323 farklı paket üzerinden 639 kötü amaçlı sürüm yayınlayarak yaklaşık bir saat sonra durdu. Microsoft, daha önce Mini Shai-Hulud kampanyası için Defender koruma rehberi yayınlamıştı ve 19 Mayıs Salı günü X üzerinden yeni tedarik zinciri saldırısına ilişkin kendi soruşturmasından güncellemeler sağladı.

Etkilenen paketler arasında yüksek indirme sayısına sahip npm bağımlılıkları olan echarts-for-react, size-sensor, @antv/scale ve timeago.js gibi popüler kütüphaneler bulunuyor. Ele geçirilen npm bakıcı hesabı 'atool', 500'den fazla pakette yayınlama yetkisine sahipti. Her kötü amaçlı sürüm, package.json'a bir preinstall hook ekleyerek 498 KB'lık obfuscate edilmiş bir Bun paketini çalıştırdı ve bulut kimlik bilgileri, CI/CD token'ları, SSH anahtarları, Kubernetes servis hesabı token'ları ve yerel parola yöneticisi kasalarını topladı. Çalınan veriler, Dune evreni terminolojisiyle adlandırılan ve 'Shai-Hulud: Here We Go Again' yazan ters çevrilmiş bir işaretleyici içeren, çalıntı token'larla oluşturulmuş genel GitHub depoları aracılığıyla sızdırıldı.

Saldırı, daha önceki dalgalarda kullanılan bir yük dağıtım tekniğini genişletti. Kötü amaçlı sürümlerin büyük çoğunluğu, bu kez ilgisiz bir güvenilir depo olan antvis/G2'ye, projenin gerçek bir bakıcısına ait sahte bir yazarlıkla yerleştirilmiş yetim commit'lere işaret eden bir optionalDependencies girişi ekledi. GitHub, commit'leri bir deponun fork ağı boyunca paylaşılan bir nesne havuzunda saklar ve npm'in github: çözümleyicisi, bir commit'in hangi fork'ta olduğunu kontrol etmeden commit hash'ine göre getirir. Bu, bir saldırganın antvis/G2'nin kendi fork'una bir commit göndermesine ve bunun ana depo URL'sinden sunulmasına olanak tanır.

Snyk, etkilenen kuruluşlara yükleme sırasında erişilebilen tüm sırları (organizasyon kapsamındaki GitHub Actions sırları ve OIDC token'ları dahil) tehlikeye girmiş olarak değerlendirmelerini tavsiye etti. Önerilen adımlar arasında bağımlılıkları 19 Mayıs'tan önce yayınlanan sürümlere sabitlemek, etkilenen derleme ortamlarına maruz kalan tüm kimlik bilgilerini döndürmek ve GitHub hesaplarını kampanyanın Dune temalı adlandırma deseni ve ters çevrilmiş dize işaretleyicisiyle eşleşen yetkisiz depo oluşturma açısından denetlemek yer alıyor.

Paylaş: