Red Hat'in resmi npm ad alanı (scope) ele geçirilerek, yaygın olarak kullanılan yazılımlara yönelik hızlı bir tedarik zinciri saldırısı düzenlendi. Saldırganlar, @redhat-cloud-services kapsamındaki 32 paketin kötü amaçlı sürümlerini yayınlayarak bulut ve geliştirici kimlik bilgilerini çalmayı hedefledi. ReversingLabs'ın analizine göre, saldırı 1 Haziran'da gerçekleşti ve tüm kötü amaçlı paketler sadece 72 saniye içinde yayınlandı.
Etkilenen paketler, Red Hat'in Hibrit Bulut Konsolu ekosistemini oluşturan UI bileşenlerinden API istemcilerine ve derleme araçlarına kadar geniş bir yelpazeyi kapsıyor. Toplamda yaklaşık 9,8 milyon indirmeye sahip olan bu paketler, geliştiricilerin güvendiği bir kaynaktan gelmesi nedeniyle saldırının etkisini artırdı. Bu bir yazım hatası veya benzer isim kullanma saldırısı değildi; saldırgan, meşru ve güvenilir bir ad alanını ele geçirerek gerçek paketleri gizli kötü amaçlı yazılımla yeniden yayınladı.
Her bir tehlikeye atılmış paket, kurulum sırasında otomatik olarak çalışan gizlenmiş bir ön kurulum betiği içeriyordu. Bu betik, uygulama kodu çalıştırılmadan önce devreye girdiğinden, yalnızca paketi yükleyen veya derleyen herkes tehlikeye maruz kalıyordu. Kötü amaçlı yazılım, Aikido Security tarafından Miasma adıyla izlenen Mini Shai-Hulud solucanının bir varyantı olarak tanımlandı.
Sonuç ve Değerlendirme
Kötü amaçlı yazılım, bulut sağlayıcı anahtarları, CI/CD token'ları, npm kimlik bilgileri ve geliştirici makinesindeki diğer hassas verileri hedef alarak sırları toplamak üzere tasarlanmıştı. Ayrıca, ele geçirilen yayınlama token'larını kullanarak, güvenliği ihlal edilmiş hesabın erişebildiği diğer paketlerin kötü amaçlı sürümlerini yayınlamaya çalışarak kendini yayma özelliğine sahipti.
Gelecekte Ne Bekleniyor?
Saldırının en çarpıcı yönü, paketlerin yayınlanma şekliydi. Aikido, kötü amaçlı sürümlerin GitHub Actions OIDC token'ları kullanılarak yayınlandığını tespit etti. Bu, saldırganın geliştiricinin kişisel hesabını değil, derleme hattını (pipeline) ele geçirdiğini gösteriyor. OIDC tabanlı 'güvenilir yayınlama', uzun ömürlü npm token'larının yerine kısa ömürlü token'lar kullanarak güvenliği artırmak için getirilmişti. Ancak bu olay, derleme hattının kendisi ihlal edildiğinde bu mekanizmanın nasıl aşılabileceğini gösteriyor.
Nasıl Önlem Alınmalı?
Analiz yapıldığı sırada, meşru bakımcılar 32 paketin tamamı için temiz sürümler yayınlamış ve kötü amaçlı sürümler npm'den kaldırılmıştı. Ancak, etkilenen sürümleri kullanan veya kaldırılmadan önce yükleyen herhangi bir proje tehlikeye açıktır. Araştırmacılar, etkilenen bir sürümü yükleyen kuruluşların sistemi potansiyel olarak güvenliği ihlal edilmiş olarak değerlendirmesini ve maruz kalan kimlik bilgilerini döndürmesini önerdi. Ayrıca CI/CD hatlarının beklenmedik yayınlama etkinlikleri açısından denetlenmesi tavsiye edildi.
Kaynak: infosecurity-magazine.com