Kaspersky Tehdit Araştırması, Shai-Hulud solucanının npm ekosistemine yönelik gerçekleştirdiği tedarik zinciri saldırısının ilk enfekte ettiği paketi detaylı bir şekilde analiz etti. Bu çalışma, toplam 530 paket sürümünden 190’ının etkilenmiş olduğunu ortaya koydu. Analiz, birden fazla güvenlik ihlalinin birçok pakette mevcut olduğunu da gösteriyor.
Shai-Hulud solucanı, ilk olarak 15 Eylül 2025 tarihinde belirlendi. Kendi kendini kopyalayabilen bu kötü amaçlı yazılım, kimlik doğrulama jetonlarını çalarak ve meşru paketlerin virüslü sürümlerini yayımlayarak, geliştirici hesapları aracılığıyla geniş çapta dağılıyor. Saldırının etkileri üzerinde pek çok belgelenmiş olgu bulunmakta. Ancak Kaspersky’nin analizi, ilk enfeksiyon mekanizması ve solucanın karmaşık yayılma yöntemlerine dair önemli teknik ayrıntıları sunuyor.
Kaspersky Tehdit Araştırması Kötü Amaçlı Yazılım Analisti Vladimir Gurskiy, "Bu tedarik zinciri saldırısının nasıl işlediğine dair önemli bilgiler sağlıyor. Solucanın bireysel hesaplara sistematik olarak taşınma eylemi, tedarik zinciri tehditlerindeki artışın önemli bir göstergesi ve bu durum, yıllar süren özel geliştirme çalışmalarını tehlikeye atma potansiyeli taşıyor," diye belirtti. Gurskiy, Kaspersky’nin Açık Kaynak Yazılım Tehditleri Veri Akışını sürdürme nedenini de hatırlatarak, kuruluşların bu tür saldırılardan korumak için gerçek zamanlı istihbarata ihtiyaç duyduğuna dikkat çekti.
Kaspersky’nin araştırması, Shai-Hulud solucanının ngx-bootstrap sürüm 18.1.4’ü enfekte ettiği ve bu paketin başlangıç noktası olarak hizmet ettiğini ortaya koydu. Araştırmacılar, bu süreçte önemli bir ayırt edici özellik tanımladı. Enfekte paketlerin çoğu, kurulumu takiben çalıştırılan komut dosyalarıyla kötü amaçlı kodlar içerirken, başlangıç noktası olan paketin kurulum öncesi komutları kullandığı görüldü. Bu da onun otomatik yayılmanın kurbanı değil, aksine başlangıç noktası olduğunu ortaya koyuyor.
Shai-Hulud solucanı, özellikle GitHub’daki özel kurumsal depoları hedef alacak şekilde tasarlanmış işlevler barındırıyor. Kimlik doğrulama jetonlarını çalmanın yanı sıra, özel ve dahili depoları GitHub hesaplarından bireysel kullanıcılara taşımak için otomatik olarak işlev gösteriyor. Böylelikle, gizli kurumsal kodlar etkili bir biçimde açığa çıkarılıyor ve tüm özel kod tabanları ifşa ediliyor.
Kaspersky, bu kötü amaçlı yazılımı HEUR:Worm.Script.Shulud.gen olarak sınıflandırıyor. Kuruluşlar, GitHub depolarında "shai-hulud" dallarını veya shai-hulud-workflow.yml dosyalarının varlığını kontrol ederek enfekte olup olmadıklarını tespit edebiliyorlar.
Kaspersky, daha önce açık kaynak ekosistemlerine yönelik artan tedarik zinciri saldırıları konusunda uyarılarda bulunmuştu. Şirketin güvenlik araştırmacıları, kötü amaçlı modül oluşturmanın tehdit aktörleri arasında giderek daha popüler hale geldiğini belirtiyorlar. Bu bağlamda, kuruluşların hack olaylarına karşı proaktif önlemler alması gerektiği vurgulanıyor.
- Bağımlılıklarınızı proaktif olarak takip edin. Kaspersky Açık Kaynak Yazılım Tehditleri Veri Akışı bu konuda yardımcı olacaktır. Bu veri akışı, kötü niyetli faaliyetler hakkında gerçek zamanlı istihbarat sağlayarak kuruluşların tedarik zinciri saldırılarına karşı savunma yapmalarına yönelik geliştirilmiştir.
- Kaspersky Premium gibi güçlü siber güvenlik çözümleri kullanarak kişisel cihazlarınızı koruyun. Bu çözüm, kimlik doğrulama jetonları ve kimlik bilgileri hedef alındığında, çok katmanlı koruma sağlar ve saldırıları önler.
- Güvenli Linux geliştirme ortamları oluşturun. Kaspersky for Linux, npm paketlerinin yüklendiği ve çalıştırıldığı sunucuları güvence altına alarak, kendi kendine yayılan solucanların tüm geliştirme altyapınızı tehdit etmesini engeller.
- Kaspersky Next ürün serisi gibi kurumsal bir siber güvenlik çözümü kullanarak, her büyüklükteki kuruluşların çeşitli siber tehditlere karşı kapsamlı bir koruma sağlamasını ve gelişmiş tehdit görünürlüğü sunmasını mümkün kılar.
