Shai-Hulud v2 tedarik zinciri saldırısı, npm ekosisteminde 830’dan fazla paketin ele geçirilmesinin ardından Maven Central’a da yayılmış durumda. Socket Araştırma Ekibi tarafından tespit edilen org.mvnpm:posthog-node:4.18.1 adlı Maven paketi, npm’den otomatik olarak yeniden paketlenen ve kötü amaçlı setup_bun.js ile bun_environment.js yükleyicilerini içeren bileşenler barındırıyor. Bu paket, PostHog projesi tarafından resmi olarak yayınlanmamış olup, saldırganların npm bileşenlerini Maven formatına dönüştürerek yaygınlığı artırdığı görülüyor.
Saldırı, npm bakımcı hesaplarının ele geçirilmesiyle trojanlanmış paketlerin yayınlanmasını sağlıyor. Bu paketler, kurban makinelerde arka kapılar açıyor, hassas API anahtarları, bulut kimlik bilgileri ve GitHub tokenları gibi sırları tarayıp çalıyor. Ayrıca, saldırganlar iki kötü niyetli GitHub iş akışı enjekte ederek, kurban makineleri kendi kendine barındırılan koşucu olarak kaydediyor ve rastgele komut çalıştırma yetkisi elde ediyor. Bu iş akışları, sistematik olarak tüm sırları toplayacak şekilde tasarlanmış durumda. Etkilenen depo sayısı 28.000’i aşmış bulunuyor.
Shai-Hulud v2, Bun çalışma zamanı kullanarak çekirdek kötü amaçlı kodu gizliyor ve enfeksiyon sınırını 20’den 100 pakete çıkararak ölçeğini büyütüyor. Ayrıca, çalınan verileri sabit kodlanmış depolar yerine rastgele isimlendirilmiş genel GitHub depolarına sızdırıyor. Bu teknik, saldırının tespitini zorlaştırıyor ve yayılmasını hızlandırıyor.
Türkiye İçin Ne Anlama Geliyor?
Türkiye’de KOBİ’ler ve kritik altyapılar yazılım tedarik zinciri saldırılarına karşı giderek daha savunmasız hale geliyor. KVKK kapsamında kişisel verilerin korunması zorunluluğu, bu tür saldırıların veri sızıntılarına yol açması halinde ağır yaptırımlara neden olabilir. Örneğin, bir e-ticaret platformunda Shai-Hulud v2 benzeri bir paket kullanılırsa, saldırganlar ödeme sistemlerine veya müşteri veritabanlarına arka kapı açabilir, böylece finansal ve itibar kayıplarına yol açabilir.
Türkiye’deki yazılım geliştirme süreçlerinde npm ve Maven gibi paket yöneticilerinin yaygın kullanımı, bu tür tedarik zinciri saldırılarının etkisini artırıyor. Ayrıca, bulut tabanlı hizmetlerin ve CI/CD boru hatlarının artan kullanımı, saldırganların otomatik iş akışları üzerinden sistemlere sızmasını kolaylaştırıyor. Bu nedenle, kurumların yazılım tedarik zinciri güvenliğine yönelik mevzuat uyumu ve teknik önlemleri artırması kritik önem taşıyor.
Özellikle kamu ve finans sektöründe, konteyner güvenliği ve rastgele SSH portları gibi ileri seviye koruma mekanizmalarının uygulanması, saldırı yüzeyini azaltabilir. Ayrıca, Pydantic AI gibi yapay zeka destekli analiz araçları ile paketlerin davranışsal analizlerinin yapılması ve MCP istemcisi gibi güvenlik çözümlerinin entegre edilmesi önerilir.
Sistem Yöneticileri ve SOC Ekipleri İçin Hızlı Kontrol Listesi
- npm ve Maven paketlerini düzenli olarak doğrulayın ve ele geçirilmiş sürümleri tespit edin.
- CI/CD iş akışlarında pull_request_target ve workflow_run tetikleyicilerinin yapılandırmasını gözden geçirin ve kısıtlayın.
- EDR çözümleri ile şüpheli arka kapı ve kötü amaçlı betik aktivitelerini izleyin.
- GitHub erişim tokenlarını düzenli olarak yenileyin ve erişim izinlerini en aza indirgeyin.
- Bağımlılık yönetimi araçlarıyla paketlerin bütünlüğünü ve kaynağını kontrol edin.
- Firewall ve ağ segmentasyonu ile dış kaynaklı paketlerin sistem erişimini sınırlandırın.
- Gizli tarama araçları kullanarak API anahtarları ve kimlik bilgilerini tespit edin ve koruyun.
- Yazılım tedarik zinciri güvenliği için otomatik politika uygulama mekanizmalarını devreye alın.
Teknik Özet
- Kullanılan zararlılar/araçlar: Shai-Hulud v2 kötü amaçlı yükleyicileri (setup_bun.js, bun_environment.js), kötü niyetli GitHub iş akışları, otomatik mvnpm paket dönüştürücü.
- Hedef sektörler/alanlar: Geliştirici ekosistemleri, açık kaynak projeler, bulut hizmetleri (AWS, Google Cloud, Azure), yazılım tedarik zinciri.
- Kullanılan zafiyetler: CI/CD yapılandırma hataları (pull_request_target, workflow_run), npm bakımcı hesaplarının ele geçirilmesi, paket yeniden paketleme sürecindeki güvenlik boşlukları.
- Saldırı zinciri özeti: 1) npm paketlerinin trojanlanması ve Maven’a yansıtılması; 2) kötü amaçlı iş akışları ile kurban makinelerin koşucu olarak kaydedilmesi; 3) hassas verilerin rastgele isimlendirilmiş GitHub depolarına sızdırılması.
- Önerilen savunma yaklaşımı: Paket bütünlüğü doğrulaması, CI/CD iş akışlarının sıkı yapılandırılması, EDR ve gizli tarama araçlarının kullanılması, erişim izinlerinin en aza indirilmesi ve otomatik politika uygulamalarının devreye alınması.
Daha geniş bağlamda, bu saldırı yazılım tedarik zincirinde güvenlik açıklarının nasıl kritik riskler oluşturduğunu gösteriyor. Türkiye’deki kurumların e-posta güvenliği, bulut güvenliği ve fidye yazılımı koruması gibi alanlarda da kapsamlı önlemler alması gerekmektedir.