Yazılım dünyasının kalbi, bir süredir devam eden ve giderek büyüyen bir siber saldırıyla sarsılıyor. Güvenlik firmaları Socket, StepSecurity ve Aikido’dan araştırmacılar, açık kaynak kodlu yazılım ekosisteminin önemli bir parçası olan NPM (Node Paket Yöneticisi) paketlerine yönelik geniş çaplı bir saldırı tespit etti. İlk belirlemelere göre en az 187 kötü amaçlı paket, bu karmaşık saldırının bir parçası olarak ortaya çıkarıldı. Bu durum, özellikle geliştiriciler için büyük bir güvenlik riski taşıyor.

Saldırıyı düzenleyenlerin, birkaç hafta önce Nx paketini hedef alan grupla aynı olduğu düşünülüyor. Ancak araştırmacılar, saldırganların yöntemlerini çok daha ileriye taşıdığını belirtiyor. Bu yeni saldırı, geliştiricilerin en hassas verilerini, yani oturum açma kimlik bilgilerini, bulut hizmetleri anahtarlarını (AWS, GCP, Azure) ve GitHub erişim belirteçlerini çalmayı hedefliyor.

Saldırganlar, Dune filmindeki kum solucanına bir gönderme yaparak “Shai-Hulud” adını verdikleri bir solucan geliştirmiş durumdalar. Bu solucan, sadece çalınan verileri GitHub’da herkese açık hale getirmekle kalmıyor, aynı zamanda bu bilgileri saldırganların kontrolündeki bir webhook‘a (web uygulamaları arasında veri iletişimi sağlayan bir mekanizma) göndererek günlük kayıtlarına gizliyor.

Saldırının en tehlikeli yanı ise, çalınan NPM token’larını kullanarak bir paketin orijinal geliştiricisinin hesabına erişim sağlaması. Bu yolla, solucan kendini o geliştiricinin kontrolündeki tüm paketlere kopyalayabiliyor, böylece saldırı zincirleme bir reaksiyonla hızla yayılıyor.

Etkilenenler ve alınabilecek önlemler

Saldırıdan etkilenen NPM paketleri arasında, haftalık milyonlarca indirmeye sahip olan ve siber güvenlik sektörünün önde gelen firmalarından CrowdStrike gibi şirketlerin de paketleri yer alıyor.

Konuyla ilgili açıklama yapan bir CrowdStrike sözcüsü, durumu fark ettikten sonra hemen harekete geçtiklerini belirtti. Şirket, kötü amaçlı paketleri derhal genel NPM kayıt defterinden kaldırdıklarını ve kendi sistemlerindeki tüm anahtarları proaktif olarak değiştirdiklerini söyledi. Açıklamada ayrıca, etkilenen paketlerin CrowdStrike’ın kendi ürünlerinde kullanılmadığı ve müşterilerinin güvende olduğu da vurgulandı.

Güvenlik araştırmacıları, şu anda etkilenen paket sayısının 187 olduğunu, ancak bu sayının artmaya devam edeceğini tahmin ediyor.