Kaspersky Tehdit Araştırması, Shai-Hulud solucanının birinci enfekte ettiği paketi tahlil ederek, kendi kendini kopyalayan bu makûs maksatlı yazılımın npm ekosistemine yönelik yaygın tedarik zinciri saldırısını nasıl başlattığına dair bilgileri paylaştı. Kaspersky’nin araştırmasına göre, Shai-Hulud solucanı toplam 530 paket sürümünden 190 eşsiz paketi enfekte etti. Bu da akın sırasında birçok paketin birden fazla güvenliği ihlal edilmiş sürümünün yayınlandığını gösteriyor.
15 Eylül 2025’te birinci defa ortaya çıkan, kendi kendini kopyalayan makus gayeli bir yazılım olan Shai-Hulud solucanı, kimlik doğrulama jetonlarını çalarak ve yasal paketlerin virüslü sürümlerini yayınlayarak geliştirici hesapları aracılığıyla otomatik olarak yayılıyor. Hücumun tesiri geniş çapta belgelenmiş olsa da, Kaspersky’nin tahlili, birinci enfeksiyon sistemi ve solucanın sofistike yayılma formülleri hakkında teknik detayları ortaya koydu.
Kaspersky Tehdit Araştırması Makus Emelli Yazılım Analisti Vladimir Gurskiy, bahse ait şunları söyledi: “Analizimiz, bu tedarik zinciri saldırısının nasıl işlediğine ve depo maruziyetinin gerçek kapsamına ait değerli bilgiler sağlıyor. Solucanın özel depoları kuruluşlardan ferdî hesaplara sistematik olarak taşıma hareketi, tedarik zinciri tehditlerinde kıymetli bir artışa işaret ediyor ve yıllarca süren özel geliştirme çalışmalarını tehlikeye atma potansiyeli taşıyor. Bu araştırma, Kaspersky Açık Kaynak Yazılım Tehditleri Data Akışını neden sürdürdüğümüzü bir kere daha ortaya koyuyor. Zira kuruluşlar, geliştirme süreçlerini bu çeşit sofistike hücumlardan korumak için, güvenliği ihlal edilmiş paketler hakkında gerçek vakitli istihbarata gereksinim duyuyor.”
Kaspersky’nin araştırması, ngx-bootstrap sürüm 18.1.4’ün başlangıç noktası olarak hizmet ettiğini doğruladı ve bu sonucun elde edilmesinde kullanılan teknik metodolojiyi açıkladı. Araştırmacılar, bu sırada değerli bir ayırt edici özellik tespit etti: Bu sürümden sonraki tüm enfekte paketler suram sonrası komut evrakları aracılığıyla makûs emelli kodları çalıştırırken, başlangıç noktası paketi eşsiz bir biçimde heyetim öncesi komutunu kullandı. Bu da onun otomatik yayılmanın kurbanı değil, başlangıç noktası olduğunu ortaya çıkardı.
Bu solucan, GitHub’daki özel kurumsal depoları tehlikeye atmak için özel olarak tasarlanmış fonksiyonlar içeriyor. Kimlik doğrulama jetonlarını çalmanın ötesinde, özel ve dahili depoları da GitHub kuruluşlarından kullanıcı hesaplarına otomatik olarak taşıyor. Böylelikle zımnî kurumsal kodları tesirli bir biçimde kamuya açık hale getiriyor ve tüm özel kod tabanlarını ifşa ediyor.
Kaspersky tahlilleri, bu berbat maksatlı yazılımı HEUR:Worm.Script.Shulud.gen olarak tanımlıyor. Kuruluşlar, GitHub depolarında “shai-hulud” kollarını yahut shai-hulud-workflow.yml evraklarının varlığını arayarak enfeksiyon olup olmadığını denetim edebilirler.
Daha fazla bilgi için Securelist adresini ziyaret edin.
Kaspersky, daha evvel açık kaynak ekosistemlerini maksat alan tedarik zinciri hücumlarının artan eğilimi konusunda uyarıda bulunmuştu. Şirketin güvenlik araştırmacıları, makus hedefli modül oluşturmanın tehdit aktörleri ortasında giderek daha tanınan hale gelen bir akın vektörü olduğunu belirledi.
- Bağımlılıklarınızı proaktif olarak izleyin. Kaspersky Açık Kaynak Yazılım Tehditleri Bilgi Akışı bunu gerçekleştirmenize yardımcı olur. Bu bilgi akışı, açık kaynak platformlarını gaye alan makûs hedefli faaliyetler hakkında gerçek vakitli istihbarat sağlayarak kuruluşların tedarik zinciri ataklarına karşı proaktif olarak savunma yapmasına yardımcı olmak için tasarlanmıştır.
- Kaspersky Premium gibi güçlü siber güvenlik tahlilleriyle şahsî aygıtlarınızı koruyun. Bu tahlil, aygıtlarınızda depolanan kimlik doğrulama jetonlarını ve kimlik bilgilerini maksat alan tedarik zinciri makus hedefli yazılım bulaşmalarını önlemek ve etkisiz hale getirmek için çok katmanlı muhafaza sağlar.
- Güvenli Linux geliştirme ortamları kurgulayın. Kaspersky for Linux, npm paketlerinin yüklendiği ve çalıştırıldığı derleme sunucularını ve CI/CD ardışık sistemlerini koruyarak, kendi kendine yayılan solucanların tüm geliştirme altyapınızı tehlikeye atmasını önler.
- Kaspersky Next ürün serisi üzere kurumsal bir siber güvenlik tahlili kullanarak, her büyüklükteki ve kesimdeki kuruluşlarda çeşitli siber güvenlik tehditlerine karşı savunma sağlayın ve gelişmiş tehdit görünürlüğü ve araştırma yeteneklerinin yanı sıra kapsamlı gerçek vakitli müdafaa sunun.
Kaynak: (BYZHA) Beyaz Haber Ajansı
