TanStack npm Paketlerine Yönelik Mini Shai-Hulud Saldırısı: Tedarik Zinciri Tehdidi Büyüyor Linux

TanStack npm Paketlerine Yönelik Mini Shai-Hulud Saldırısı: Tedarik Zinciri Tehdidi Büyüyor

Mini Shai-Hulud kampanyası TanStack npm paketlerine sızdı. 84 kötü amaçlı paket yayımlandı, GitHub Actions OIDC token'ları çalındı. SLSA doğrulaması b

Yazılım tedarik zinciri saldırılarına bir yenisi daha eklendi: Mini Shai-Hulud kampanyası, popüler JavaScript kütüphanesi TanStack'in npm paketlerini hedef aldı. Saldırı, 42 farklı @tanstack/* paketinde 84 kötü amaçlı sürüm yayımlayarak geniş çaplı bir güvenlik ihlaline yol açtı. Socket, StepSecurity ve Wiz gibi güvenlik firmalarının ortak analizine göre, bu saldırı yalnızca TanStack ile sınırlı kalmadı; UiPath, Mistral AI, OpenSearch ve PyPI üzerindeki paketleri de etkiledi. Özellikle @tanstack/react-router paketinin haftalık 12 milyondan fazla indirilmesi, saldırının potansiyel etkisini gözler önüne seriyor.

Saldırı, 11 Mayıs 2026 tarihinde 19:20-19:26 UTC arasında gerçekleşti. TanStack ekibine göre, saldırganlar pull_request_target 'Pwn Request' modelini, GitHub Actions cache poisoning ve OIDC token'larını çalma tekniklerini birleştirdi. İlginç bir şekilde, npm token'ları çalınmadı ve npm publish iş akışı doğrudan ele geçirilmedi. Bunun yerine, saldırganlar meşru yayın hattını kötüye kullanarak kötü amaçlı paketleri yayımladı. Bu durum, SLSA Build Level 3 doğrulama belgelerinin bile güvenilir olmadığını gösteriyor; çünkü SLSA yalnızca hangi hattın ürünü ürettiğini doğruluyor, hattın güvenli olup olmadığını değil.

Kötü amaçlı paketlerde router_init.js adlı 2.3 MB boyutunda, ağır şekilde obfuscate edilmiş bir dosya bulunuyordu. Bu dosya, daemonization, GitHub ortam değişkenlerine erişim, geçici dosya oluşturma ve uzaktan komut çalıştırma gibi yeteneklere sahipti. Ayrıca, optionalDependencies alanı, @tanstack/router deposundaki bir orphan commit'e işaret ediyordu. Bu commit, @tanstack/setup adlı bir paket ve prepare lifecycle hook'u içeriyordu; böylece paket kurulumu sırasında otomatik olarak kod çalıştırılabiliyordu. Bu teknik, geliştiricilerin farkında olmadan kötü amaçlı yazılımı sistemlerine yüklemesine neden oldu.

Wiz, saldırıyı yüksek güvenle TeamPCP grubuna atfetti. Bu grup daha önce SAP, Checkmarx, Bitwarden, Lightning, Intercom ve Trivy gibi büyük projelere yönelik saldırılarla ilişkilendirilmişti. Saldırganların hedefinde GitHub Actions OIDC, GitLab, CircleCI, AWS, GCP, Azure, Kubernetes, HashiCorp Vault ve paket kayıt defteri token'ları vardı. Kötü amaçlı yazılım, çalınan verileri üç farklı yöntemle dışarı sızdırıyordu: git-tanstack[.]com adlı bir typosquat domain, Session messenger ağı ve GitHub API dead drop'ları. Ayrıca, geliştirici makinelerinde çalışan bir gh-token-monitor daemon'u, her 60 saniyede bir GitHub'ı kontrol ediyor ve token iptal edilirse kullanıcının ana dizinini silmeye çalışıyordu; ancak 24 saat sonra otomatik olarak sonlanıyordu.

Önemli Gelişmeler

Mini Shai-Hulud kampanyası TanStack ile sınırlı kalmadı. Socket, OpenSearch npm sürümlerinde, PyPI üzerinde mistralai 2.4.6 ve guardrails-ai 0.10.1 paketlerinde ve @squawk paketlerinde de benzer kötü amaçlı yazılımlar tespit etti. Bu durum, saldırının koordineli ve geniş kapsamlı olduğunu gösteriyor. GitHub Advisory Database, TanStack olayını kritik seviyede değerlendirdi ve 11 Mayıs 2026'da etkilenen sürümleri yükleyen tüm geliştiricilerin ve CI ortamlarının tehlikeye girdiğini duyurdu. Veritabanı, bu süreçte erişilebilen tüm kimlik bilgilerinin değiştirilmesini ve etkilenen sistemlerden yapılan işlemler için bulut denetim günlüklerinin incelenmesini öneriyor.

Nasıl Önlem Alınmalı?

Bu saldırı, yazılım tedarik zinciri güvenliğinde önemli dersler sunuyor. İlk olarak, SLSA doğrulaması tek başına yeterli değil; iş akışının bütünlüğü de denetlenmeli. İkinci olarak, pull_request_target gibi özellikler dikkatli kullanılmalı ve OIDC token'ları gibi hassas bilgiler korunmalı. Geliştiriciler, paketleri yüklerken kaynağını ve bütünlüğünü doğrulamalı, ayrıca CI/CD ortamlarında en az ayrıcalık prensibini uygulamalıdır. Son olarak, bu tür saldırıların tespiti için davranışsal izleme ve anomali tespit sistemleri kritik önem taşıyor. Mini Shai-Hulud, yazılım dünyasının ne kadar kırılgan olduğunu bir kez daha hatırlatıyor.

Kaynak: infosecurity-magazine.com

Paylaş: