Red Hat npm Kapsamı Ele Geçirildi: Bulut Sırlarını Çalan Kötü Amaçlı Paketler Siber Güvenlik

Red Hat npm Kapsamı Ele Geçirildi: Bulut Sırlarını Çalan Kötü Amaçlı Paketler

Red Hat'in npm ad alanı ele geçirildi: Saldırganlar, 32 popüler pakete gizlenmiş kötü amaçlı yazılımla bulut ve geliştirici sırlarını çaldı.

Red Hat'in resmi npm paket ad alanı (@redhat-cloud-services), siber saldırganlar tarafından ele geçirilerek 32 farklı pakete kötü amaçlı yazılım yerleştirildi. ReversingLabs tarafından yapılan analize göre, 1 Haziran'da sadece 72 saniye içinde yayımlanan bu sahte sürümler, Red Hat Hibrit Bulut Konsolu ekosistemindeki UI bileşenlerinden API istemcilerine ve derleme araçlarına kadar geniş bir yelpazeyi hedef aldı. Toplamda yaklaşık 9,8 milyon indirmeye sahip bu paketler, geliştiricilerin güvendiği bir kaynağın istismar edilmesiyle tedarik zinciri saldırısının ne kadar tehlikeli olabileceğini gösteriyor.

Saldırganlar, her bir pakete kurulum sırasında otomatik olarak çalışan ve uygulama kodundan önce devreye giren obskür edilmiş bir ön kurulum betiği (preinstall script) ekledi. Bu sayede, kötü amaçlı yazılımın etkinleşmesi için paketin üretimde kullanılması gerekmiyor; sadece kurulum veya derleme işlemi yeterli oluyordu. Aikido Security tarafından Miasma adı verilen bu yazılım, Mini Shai-Hulud solucanının bir varyantı olarak tanımlandı. Kötü amaçlı yazılım, geliştiricinin makinesindeki bulut sağlayıcı anahtarları, CI/CD tokenları, npm kimlik bilgileri gibi hassas verileri hedef alarak çalma işlemini gerçekleştiriyordu.

Saldırının en dikkat çekici yanı, paketlerin yayımlanma şekli oldu. Aikido, kötü amaçlı sürümlerin GitHub Actions OIDC tokenları kullanılarak yayımlandığını tespit etti. Bu, saldırganın bir geliştiricinin kişisel hesabını değil, doğrudan derleme hattını (build pipeline) ele geçirdiği anlamına geliyor. OIDC tabanlı 'güvenilir yayımlama' (trusted publishing), uzun ömürlü npm tokenlarının yerine kısa ömürlü tokenlar kullanarak güvenliği artırmak için getirilmişti. Ancak bu olay, derleme hattının ihlal edilmesi durumunda bu güvenlik önleminin de aşılabileceğini ve savunmacıların güvendiği sinyallerin anlamını yitirebileceğini gösterdi.

Nasıl Önlem Alınmalı?

Olayın analiz edildiği sırada, meşru bakımcılar tüm 32 paket için temiz sürümler yayımlamış ve kötü amaçlı sürümler npm'den kaldırılmıştı. Ancak etkilenen sürümleri kullanan veya kaldırılmadan önce kuran herhangi bir proje risk altında. Araştırmacılar, bu paketlerden birini kuran kuruluşların sistemlerini potansiyel olarak ele geçirilmiş kabul etmelerini ve tüm açıkta kalan kimlik bilgilerini değiştirmelerini öneriyor. Ayrıca CI/CD hatlarında beklenmeyen yayımlama etkinliklerinin denetlenmesi de tavsiye ediliyor.

Paylaş: