Saldırının Genel Çerçevesi
2025 Ağustos ayında nx npm paketinde gerçekleştirilen tedarik zinciri saldırısı, UNC6426 tehdit grubunun hedef aldığı önemli bir operasyon olarak kayda geçti. Saldırı, bir geliştiricinin GitHub kişisel erişim tokenının (PAT) çalınmasıyla başladı. Bu token kullanılarak GitHub ortamında keşif yapıldı, ardından AWS OpenID Connect (OIDC) güven ilişkisi kötüye kullanılarak bulut ortamına yetkisiz erişim sağlandı.
Tehdit aktörleri, GitHub Actions üzerinden geçici AWS Güvenlik Token Servisi (STS) tokenları oluşturarak “Actions-CloudFormation” adlı aşırı izinlere sahip bir rolü ele geçirdi. Bu rol ile 72 saatten kısa sürede tam yönetici hakları elde edildi ve AWS ortamında kalıcı erişim sağlandı.
Saldırı Zinciri ve Teknik Detaylar
Saldırı zinciri şu adımlardan oluştu:
- Bir pull_request_target iş akışındaki zafiyet (Pwn Request) kullanılarak yükseltilmiş ayrıcalıklar elde edildi.
- Trojanlanmış nx npm paketleri npm kayıt deposuna yüklendi; bu paketlerde postinstall betiği olarak QUIETVAULT adlı JavaScript tabanlı kimlik bilgisi hırsızı çalıştırıldı.
- QUIETVAULT, ortam değişkenleri, sistem bilgileri ve GitHub PAT’leri gibi hassas verileri toplamak için LLM tabanlı uç nokta taraması yaptı ve verileri halka açık bir GitHub deposuna aktardı.
- Çalınan tokenlar ile GitHub ortamında Nord Stream adlı açık kaynaklı araç kullanılarak CI/CD sırları ve hizmet hesabı kimlik bilgileri sızdırıldı.
- Geçici AWS STS tokenları oluşturularak “Actions-CloudFormation” rolü ile AWS ortamında kalıcı yönetici erişimi sağlandı.
- Yeni IAM rolü oluşturularak “AdministratorAccess” politikası eklendi ve AWS kaynakları üzerinde tam kontrol elde edildi.
- S3 kovalarındaki veriler sızdırıldı, üretim ortamındaki EC2 ve RDS örnekleri sonlandırıldı, uygulama anahtarları şifresi çözüldü ve dahili GitHub depoları herkese açık hale getirildi.
Siber Güvenlik Ekipleri İçin Öneriler
Bu tür tedarik zinciri saldırılarına karşı alınabilecek önlemler şunlardır:
- Postinstall betiklerini engelleyen paket yöneticileri veya sandbox ortamları kullanmak.
- CI/CD hizmet hesapları ve OIDC bağlantılı roller için en az ayrıcalık ilkesi (PoLP) uygulamak.
- Kısa ömürlü ve depo bazlı ince ayarlı GitHub PAT’leri kullanmak.
- Yönetici rolü oluşturma gibi kritik işlemler için kalıcı ayrıcalıkları kaldırmak.
- Anormal IAM aktivitelerini SIEM ve EDR çözümleriyle sürekli izlemek.
- Shadow AI risklerini tespit edecek güçlü kontrol mekanizmaları geliştirmek.
- Bulut güvenliği politikalarını sıkılaştırmak ve IAM rol izinlerini düzenli olarak gözden geçirmek.
- Olay müdahale süreçlerinde tedarik zinciri saldırılarına yönelik özel senaryolar oluşturmak.
Teknik Özet
- Zararlı araçlar: QUIETVAULT (JavaScript kimlik bilgisi hırsızı), Nord Stream (açık kaynaklı keşif aracı)
- Hedef sektörler: Bulut hizmetleri kullanan kurumlar, yazılım geliştirme ekipleri
- Kullanılan zafiyet: GitHub Actions pull_request_target iş akışındaki yükseltilmiş ayrıcalık açığı (Pwn Request saldırısı)
- Saldırı zinciri: Token hırsızlığı → GitHub ortamında keşif → AWS OIDC rol kötüye kullanımı → Yönetici hakları elde edilmesi → Veri sızıntısı ve kaynakların yok edilmesi
- Önerilen savunma: IAM rol izinlerinin sıkılaştırılması, paket yöneticilerinde betik engelleme, kısa ömürlü token kullanımı, anormal aktivite izleme
Bu olay, yazılım tedarik zinciri güvenliğinin yanı sıra bulut güvenliği ve IAM yönetiminin kritik önemini bir kez daha ortaya koyuyor. Özellikle CI/CD süreçlerinde kullanılan araçların ve erişim izinlerinin dikkatle yönetilmesi gerekiyor. Ayrıca, AI destekli otomasyonların geliştirici iş akışlarına entegrasyonu, saldırı yüzeyini genişlettiği için bu alanlarda da yeni güvenlik yaklaşımlarına ihtiyaç bulunuyor.