Kaspersky Tehdit Araştırması, Shai-Hulud solucanının birinci enfekte ettiği paketi tahlil ederek, kendi kendini kopyalayan bu berbat gayeli yazılımın npm ekosistemine yönelik yaygın tedarik zinciri saldırısını nasıl başlattığına dair bilgileri paylaştı. Kaspersky’nin araştırmasına göre, Shai-Hulud solucanı toplam 530 paket sürümünden 190 eşsiz paketi enfekte etti. Bu da hücum sırasında birçok paketin birden fazla güvenliği ihlal edilmiş sürümünün yayınlandığını gösteriyor.
15 Eylül 2025’te birinci kere ortaya çıkan, kendi kendini kopyalayan makûs emelli bir yazılım olan Shai-Hulud solucanı, kimlik doğrulama jetonlarını çalarak ve yasal paketlerin virüslü sürümlerini yayınlayarak geliştirici hesapları aracılığıyla otomatik olarak yayılıyor. Akının tesiri geniş çapta belgelenmiş olsa da, Kaspersky’nin tahlili, birinci enfeksiyon sistemi ve solucanın sofistike yayılma metotları hakkında teknik detayları ortaya koydu.
Kaspersky Tehdit Araştırması Berbat Emelli Yazılım Analisti Vladimir Gurskiy, mevzuya ait şunları söyledi: “Analizimiz, bu tedarik zinciri saldırısının nasıl işlediğine ve depo maruziyetinin gerçek kapsamına ait değerli bilgiler sağlıyor. Solucanın özel depoları kuruluşlardan ferdi hesaplara sistematik olarak taşıma aksiyonu, tedarik zinciri tehditlerinde kıymetli bir artışa işaret ediyor ve yıllarca süren özel geliştirme çalışmalarını tehlikeye atma potansiyeli taşıyor. Bu araştırma, Kaspersky Açık Kaynak Yazılım Tehditleri Bilgi Akışını neden sürdürdüğümüzü bir sefer daha ortaya koyuyor. Zira kuruluşlar, geliştirme süreçlerini bu tıp sofistike taarruzlardan korumak için, güvenliği ihlal edilmiş paketler hakkında gerçek vakitli istihbarata muhtaçlık duyuyor.”
Kaspersky’nin araştırması, ngx-bootstrap sürüm 18.1.4’ün başlangıç noktası olarak hizmet ettiğini doğruladı ve bu sonucun elde edilmesinde kullanılan teknik metodolojiyi açıkladı. Araştırmacılar, bu sırada değerli bir ayırt edici özellik tespit etti: Bu sürümden sonraki tüm enfekte paketler heyetim sonrası komut evrakları aracılığıyla makûs maksatlı kodları çalıştırırken, başlangıç noktası paketi eşsiz bir halde suram öncesi komutunu kullandı. Bu da onun otomatik yayılmanın kurbanı değil, başlangıç noktası olduğunu ortaya çıkardı.
Bu solucan, GitHub’daki özel kurumsal depoları tehlikeye atmak için özel olarak tasarlanmış fonksiyonlar içeriyor. Kimlik doğrulama jetonlarını çalmanın ötesinde, özel ve dahili depoları da GitHub kuruluşlarından kullanıcı hesaplarına otomatik olarak taşıyor. Böylelikle bilinmeyen kurumsal kodları tesirli bir halde kamuya açık hale getiriyor ve tüm özel kod tabanlarını ifşa ediyor.
Kaspersky tahlilleri, bu berbat hedefli yazılımı HEUR:Worm.Script.Shulud.gen olarak tanımlıyor. Kuruluşlar, GitHub depolarında “shai-hulud” kısımlarını yahut shai-hulud-workflow.yml evraklarının varlığını arayarak enfeksiyon olup olmadığını denetim edebilirler.
Daha fazla bilgi için Securelist adresini ziyaret edin.
Kaspersky, daha evvel açık kaynak ekosistemlerini maksat alan tedarik zinciri akınlarının artan eğilimi konusunda uyarıda bulunmuştu. Şirketin güvenlik araştırmacıları, makûs emelli modül oluşturmanın tehdit aktörleri ortasında giderek daha tanınan hale gelen bir akın vektörü olduğunu belirledi.
- Bağımlılıklarınızı proaktif olarak izleyin. Kaspersky Açık Kaynak Yazılım Tehditleri Data Akışı bunu gerçekleştirmenize yardımcı olur. Bu data akışı, açık kaynak platformlarını gaye alan makûs hedefli faaliyetler hakkında gerçek vakitli istihbarat sağlayarak kuruluşların tedarik zinciri ataklarına karşı proaktif olarak savunma yapmasına yardımcı olmak için tasarlanmıştır.
- Kaspersky Premium gibi güçlü siber güvenlik tahlilleriyle ferdî aygıtlarınızı koruyun. Bu tahlil, aygıtlarınızda depolanan kimlik doğrulama jetonlarını ve kimlik bilgilerini amaç alan tedarik zinciri makûs emelli yazılım bulaşmalarını önlemek ve etkisiz hale getirmek için çok katmanlı müdafaa sağlar.
- Güvenli Linux geliştirme ortamları kurgulayın. Kaspersky for Linux, npm paketlerinin yüklendiği ve çalıştırıldığı derleme sunucularını ve CI/CD ardışık nizamlarını koruyarak, kendi kendine yayılan solucanların tüm geliştirme altyapınızı tehlikeye atmasını önler.
- Kaspersky Next ürün serisi üzere kurumsal bir siber güvenlik tahlili kullanarak, her büyüklükteki ve daldaki kuruluşlarda çeşitli siber güvenlik tehditlerine karşı savunma sağlayın ve gelişmiş tehdit görünürlüğü ve araştırma yeteneklerinin yanı sıra kapsamlı gerçek vakitli müdafaa sunun.
Kaynak: (BYZHA) Beyaz Haber Ajansı
