Tedarik zinciri güvenlik şirketi Socket tarafından ortaya konan yeni bir saldırı, npm ekosisteminde 180’den fazla paketi etkileyen kendi kendini çoğaltan bir solucan içeriyor. Bu kötü amaçlı yazılım, paketlerin package.json dosyasını değiştirip, yerel bir betik (bundle.js) enjekte ederek arşivi yeniden paketliyor ve yayımlıyor; böylece alt paketlerin otomatik olarak trojanlaştırılmasını sağlıyor.

TruffleHog ile Kimlik Bilgisi Avı

Solucanın nihai amacı, TruffleHog adlı meşru bir gizli bilgi tarama aracını kullanarak geliştirici makinelerinde GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID ve AWS_SECRET_ACCESS_KEY gibi hassas token ve bulut kimlik bilgilerini aramak ve bunları saldırganın kontrolündeki harici bir sunucuya iletmek. Saldırı hem Windows hem de Linux sistemlerini hedef alabiliyor.

Enjekte edilen kötü amaçlı JavaScript kodu, npm tokenlarını doğrulamak için whoami uç noktasını kullanıyor ve mevcut tokenlar ile GitHub API’leriyle etkileşime giriyor. Ayrıca, bulut yapı ajanları içinde kısa ömürlü kimlik bilgilerini sızdırabilecek bulut meta veri keşfi yapmaya çalışıyor.

GitHub Actions ile Kalıcı Erişim

Betik, ele geçirilen kimlik bilgileriyle .github/workflows dizininde yeni bir GitHub Actions iş akışı oluşturuyor ve toplanan verileri webhook.site adresine gönderiyor. Bu iş akışı, onaylandıktan sonra kalıcı hale geliyor ve gelecekteki CI çalışmaları sırasında veri sızdırma adımını tetikleyebiliyor.

Shai-Hulud Kampanyası ve Geniş Etki Alanı

StepSecurity ve ReversingLabs gibi güvenlik firmalarının analizlerine göre, “Shai-Hulud” kod adlı bu kampanya, npm ekosisteminde 500’den fazla paketi etkiledi. Saldırganlar, ele geçirilen npm hesapları üzerinden kötü amaçlı paket sürümleri yayımlayarak solucanın yayılmasını otomatikleştiriyor. Ayrıca, ele geçirilen kullanıcıların özel GitHub depolarının genel kopyalarını oluşturarak gömülü gizli bilgileri ve kaynak kodları çalmaya çalışıyorlar.

Bu saldırı, s1ngularity saldırısına benzer işlevsellik ve tasarım özellikleri taşıyor; bulut güvenlik firması Wiz, Shai-Hulud’u s1ngularity’nin doğrudan alt akışı olarak değerlendiriyor ve bu saldırının JavaScript tedarik zinciri saldırıları arasında en şiddetlilerden biri olduğunu belirtiyor.

Analiz ve Tavsiyeler

GitGuardian tarafından yapılan analizde, kampanya kapsamında toplam 278 gizli bilgi sızdırıldığı tespit edildi. Bunların 90’ı ele geçirilen yerel sistemlerden toplanırken, 188’i kötü amaçlı iş akışları tarafından ele geçirildi. En çok sızdırılan bilgiler GitHub tokenları, npm tokenları ve AWS anahtarları oldu.

Geliştiricilere, etkilenen paketleri ve npm tokenlarını kontrol etmeleri, varsa kimlik bilgilerini değiştirmeleri ve ortamlarını denetlemeleri öneriliyor. Ayrıca, yayımlanan kötü amaçlı paket sürümlerinin derhal kaldırılması ve temiz sürümlere yükseltilmesi çağrısında bulunuluyor.

crates.io Oltalama Kampanyası

Rust Güvenlik Yanıt Çalışma Grubu, crates.io kullanıcılarını hedef alan oltalama e-postaları konusunda uyarıda bulundu. security@rustfoundation.dev adresinden gönderilen mesajlar, crates.io altyapısının ihlal edildiği iddiasıyla kullanıcıları sahte bir GitHub giriş sayfasına yönlendiriyor. Rust ekibi, bu e-postaların kötü niyetli olduğunu ve Rust Vakfı tarafından kontrol edilmediğini belirtti.