Kaspersky, npm Shai-Hulud solucan tedarik zinciri saldırısı hakkında detayları paylaştı
Kaspersky Tehdit Araştırması, Shai-Hulud solucanının birinci enfekte ettiği paketi tahlil ederek, kendi kendini kopyalayan bu berbat hedefli yazılımın npm ekosistemine yönelik yaygın tedarik zinciri saldırısını nasıl başlattığına dair bilgileri paylaştı. Kaspersky'nin araştırmasına göre, Shai-Hulud solucanı toplam 530 paket sürümünden 190 eşsiz paketi enfekte etti. Bu da taarruz sırasında birçok paketin birden fazla güvenliği ihlal edilmiş sürümünün yayınlandığını gösteriyor. 15 Eylül 2025'te birinci defa ortaya çıkan, kendi kendini kopyalayan makûs gayeli bir yazılım olan Shai-Hulud solucanı, kimlik doğrulama jetonlarını çalarak ve yasal paketlerin virüslü sürümlerini yayınlayarak geliştirici hesapları aracılığıyla otomatik olarak yayılıyor. Taarruzun tesiri geniş çapta belgelenmiş olsa da, Kaspersky'nin tahlili, birinci enfeksiyon sistemi ve solucanın sofistike yayılma teknikleri hakkında teknik detayları ortaya koydu. Kaspersky Tehdit Araştırması Berbat Hedefli Yazılım Analisti Vladimir Gurskiy, bahse ait şunları söyledi: "Analizimiz, bu tedarik zinciri saldırısının nasıl işlediğine ve depo maruziyetinin gerçek kapsamına ait kıymetli bilgiler sağlıyor. Solucanın özel depoları kuruluşlardan ferdî hesaplara sistematik olarak taşıma aksiyonu, tedarik zinciri tehditlerinde kıymetli bir artışa işaret ediyor ve yıllarca süren özel geliştirme çalışmalarını tehlikeye atma potansiyeli taşıyor. Bu araştırma, Kaspersky Açık Kaynak Yazılım Tehditleri Data Akışını neden sürdürdüğümüzü bir sefer daha ortaya koyuyor. Zira kuruluşlar, geliştirme süreçlerini bu tıp sofistike hücumlardan korumak için, güvenliği ihlal edilmiş paketler hakkında gerçek vakitli istihbarata muhtaçlık duyuyor."Kaspersky'nin araştırması, ngx-bootstrap sürüm 18.1.4'ün başlangıç noktası olarak hizmet ettiğini doğruladı ve bu sonucun elde edilmesinde kullanılan teknik metodolojiyi açıkladı. Araştırmacılar, bu sırada değerli bir ayırt edici özellik tespit etti: Bu sürümden sonraki tüm enfekte paketler suram sonrası komut belgeleri aracılığıyla berbat maksatlı kodları çalıştırırken, başlangıç noktası paketi eşsiz bir biçimde suram öncesi komutunu kullandı. Bu da onun otomatik yayılmanın kurbanı değil, başlangıç noktası olduğunu ortaya çıkardı. Bu solucan, GitHub'daki özel kurumsal depoları tehlikeye atmak için özel olarak tasarlanmış fonksiyonlar içeriyor. Kimlik doğrulama jetonlarını çalmanın ötesinde, özel ve dahili depoları da GitHub kuruluşlarından kullanıcı hesaplarına otomatik olarak taşıyor. Böylelikle kapalı kurumsal kodları tesirli bir biçimde kamuya açık hale getiriyor ve tüm özel kod tabanlarını ifşa ediyor. Kaspersky tahlilleri, bu makus hedefli yazılımı HEUR:Worm.Script.Shulud.gen olarak tanımlıyor. Kuruluşlar, GitHub depolarında "shai-hulud" kısımlarını yahut shai-hulud-workflow.yml belgelerinin varlığını arayarak enfeksiyon olup olmadığını denetim edebilirler.Daha fazla bilgi için Securelist adresini ziyaret edin.Kaspersky, daha evvel açık kaynak ekosistemlerini gaye alan tedarik zinciri taarruzlarının artan eğilimi konusunda uyarıda bulunmuştu. Şirketin güvenlik araştırmacıları, makus maksatlı modül oluşturmanın tehdit aktörleri ortasında giderek daha tanınan hale gelen bir hücum vektörü olduğunu belirledi.
- Bağımlılıklarınızı proaktif olarak izleyin. Kaspersky Açık Kaynak Yazılım Tehditleri Bilgi Akışı bunu gerçekleştirmenize yardımcı olur. Bu data akışı, açık kaynak platformlarını maksat alan berbat hedefli faaliyetler hakkında gerçek vakitli istihbarat sağlayarak kuruluşların tedarik zinciri hücumlarına karşı proaktif olarak savunma yapmasına yardımcı olmak için tasarlanmıştır.
- Kaspersky Premium gibi güçlü siber güvenlik tahlilleriyle şahsî aygıtlarınızı koruyun. Bu tahlil, aygıtlarınızda depolanan kimlik doğrulama jetonlarını ve kimlik bilgilerini gaye alan tedarik zinciri berbat emelli yazılım bulaşmalarını önlemek ve etkisiz hale getirmek için çok katmanlı müdafaa sağlar.
- Güvenli Linux geliştirme ortamları kurgulayın. Kaspersky for Linux, npm paketlerinin yüklendiği ve çalıştırıldığı derleme sunucularını ve CI/CD ardışık sistemlerini koruyarak, kendi kendine yayılan solucanların tüm geliştirme altyapınızı tehlikeye atmasını önler.
- Kaspersky Next ürün serisi üzere kurumsal bir siber güvenlik tahlili kullanarak, her büyüklükteki ve kesimdeki kuruluşlarda çeşitli siber güvenlik tehditlerine karşı savunma sağlayın ve gelişmiş tehdit görünürlüğü ve araştırma yeteneklerinin yanı sıra kapsamlı gerçek vakitli muhafaza sunun.