Saldırganlar Bulut Sırlarını Çalmak İçin Red Hat npm Kapsamını Ele Geçirdi Siber Güvenlik

Saldırganlar Bulut Sırlarını Çalmak İçin Red Hat npm Kapsamını Ele Geçirdi

Red Hat'in resmi npm ad alanı, yaygın olarak kullanılan yazılımlara karşı hızlı ilerleyen bir tedarik zinciri saldırısında, bulut ve geliştirici kimli...

Red Hat'in resmi npm ad alanı, yaygın olarak kullanılan yazılımlara karşı hızlı ilerleyen bir tedarik zinciri saldırısında, bulut ve geliştirici kimlik bilgilerini çalmak üzere oluşturulmuş arka kapılı paket sürümlerini kullanmak üzere ele geçirildi.

ReversingLabs tarafından yapılan yeni analize göre, bir saldırgan 1 Haziran'da @redhat-cloud-services kapsamındaki 32 paketin kötü amaçlı sürümlerini 72 saniye içinde yayınladı.

Paketler, kullanıcı arayüzü bileşenlerinden API istemcilerine ve yapı araçlarına kadar Red Hat'in Hibrit Bulut Konsolu ekosistemini kapsıyor ve toplamda yaklaşık 9,8 milyon indirmeyi temsil ediyor.

Bu yazım hatası ya da benzerlik değildi. Saldırgan meşru, güvenilir bir ad alanının kontrolünü ele geçirdi ve gizli kötü amaçlı yazılım içeren gerçek paketleri yeniden yayınlayarak geliştiricilerin bilinen bir satıcıya olan güvenini dağıtım yöntemine dönüştürdü.

Nasıl Önlem Alınmalı?

Kurulum Adımında Gizli Kötü Amaçlı Yazılım

Güvenliği ihlal edilen her paket, herhangi bir uygulama kodu yürütülmeden önce kurulum sırasında otomatik olarak çalıştırılan, gizlenmiş bir ön kurulum komut dosyası taşıyordu. Bu nedenle maruz kalma, paketin üretimde kullanılmasına değil, yalnızca kurulumuna veya oluşturulmasına bağlıydı.

Aikido Güvenliği, yükün Miasma adı altında takip ettiği Mini Shai-Hulud solucanının bir çeşidi olduğunu söyledi.

Gelecekte Ne Bekleniyor?

Kötü amaçlı yazılımın sırları toplamak için oluşturulduğu ReversingLabs, bunun geliştiricinin makinesindeki bulut sağlayıcı anahtarlarını, CI/CD belirteçlerini, npm kimlik bilgilerini ve diğer hassas malzemeleri hedef aldığını tespit etti.

Kötü amaçlı yazılım, kökenine sadık kalarak yayılmaya da çalışıyor. Çalınan yayınlama belirteçlerini kullanarak, ele geçirilen hesabın erişebileceği diğer paketlerin arka kapılı sürümlerini yeniden yayınlamaya çalışır.

Detaylar ve Etkileri

Kendine Karşı Dönen Güvenilir Bir Özellik

Araştırmacılar, en dikkat çekici unsurun paketlerin nasıl yayınlandığı olduğunu söyledi. Aikido, kötü amaçlı sürümlerin GitHub Actions OIDC belirteçleri kullanılarak gönderildiğini tespit etti; bu, saldırganın geliştiricinin kişisel hesabı yerine derleme hattını tehlikeye attığını gösteriyor.

Bu ayrıntı önemli çünkü OIDC tabanlı "güvenilir yayınlama", güvenliği artırmak için tanıtıldı ve uzun ömürlü npm belirteçleri, derleme sırasında kısa ömürlü olanlarla değiştirildi.

Bu olayın gösterdiği gibi, boru hattının kendisi ihlal edildiğinde, artık savunucuların varsaydığı anlama gelmeyen bir güven sinyali bırakarak yıkılabilir.

Sonuç ve Değerlendirme

Benzer saldırılar hakkında daha fazlasını okuyun: Mini Shai-Hulud, TanStack npm Paketlerini Vuruyor

Etkinlik analiz edildiğinde meşru bakım sağlayıcılar 32 paketin tümü için temiz takip sürümlerini yayınlamış ve kötü amaçlı sürümler npm'den kaldırılmıştı. Etkilenen sürümlere sabitlenen veya çekilmeden önce pencerede yükleme çalıştıran tüm projeler açığa çıkar.

Teknik Analiz

Araştırmacılar, etkilenen bir sürümü yükleyen herhangi bir kuruluşa, sistemi potansiyel olarak tehlikeye atılmış olarak değerlendirmeye ve açıkta kalan kimlik bilgilerini rotasyona tabi tutmaya çağırdı; çünkü yük, paketin kullanılıp kullanılmadığına bakılmaksızın kurulum sırasında çalışıyor. Beklenmedik yayınlama faaliyetlerine karşı CI/CD işlem hatlarının denetlenmesi de önerildi.

Paylaş: