Bu özel bir açık kaynak projesi: TeamPCP siber çetesinin dehaları, npm solucanı Shai-Hulud'un kaynak kodunu GitHub'da yayınladı. Ayrıca BreachForums yeraltı forumunda bir yarışma düzenlediler ve diğer suçlulardan kodu kullanmaya başlamalarını istediler.
Reklamdan sonra devamını okuyun
Bir blog yazısında Mondoo BT araştırmacıları, ilk klonların yalnızca birkaç gün sonra npm'de ortaya çıktığını yazdı. Örneğin tek bir fail, Shai-Hulud'un kendi komuta ve kontrol altyapısına sahip neredeyse aynı kopyası olan dört kötü amaçlı paket ve “Axios”un üç yazım hatası versiyonunu yükledi. Virüslü sistemleri bir DDoS ağına entegre eden botnet kötü amaçlı yazılımları içerirler. BT araştırmacıları hedefin kalın parmaklı programcılar olduğunu açıklıyor. Haftalık indirme sayısı şu anda 2600 civarında, bu da npm paketleri için aslında düşük bir rakam. OXsecurity birkaç kopyayı daha listeler. İlgili birçok tarafın artık kaynak kodu üzerine inşa edebileceğinden, çok sayıda npm solucan paketi bekleniyor.
Güncel Shai Hulud tedarik zinciri saldırısı
Grubun Bluesky'de açıkladığı gibi Microsoft'un Tehdit İstihbaratı'nın yeni ortaya çıkan bir mini Shai Hulud tedarik zinciri saldırısını araştırdığı da buna uyuyor. Saldırganlar “antv”yi hedef aldı; bir proje bakımcı hesabını ele geçirmeyi başardılar ve “antv/g2” gibi yaygın olarak kullanılan paketlerin virüslü sürümlerini yayınladılar. Bu paketler bağımlılık olarak yaygın şekilde kullanılmaktadır. Güvenliği ihlal edilmiş paketler, echarts-for-react gibi kitaplıklarda yayılarak çok çeşitli uygulamaları ve derleme sistemlerini etkiliyor.
Kötü amaçlı kod burada ayrıca erişim verilerini aramak ve sızdırmak için de kullanılıyor. Microsoft, gıpta edilen hedeflerin kişisel GitHub erişim belirteçleri, OpenID belirteçleri, Amazon AWS kimlik bilgileri ve güvenlik belirteçleri, SSH anahtarları, Kube yapılandırmaları veya diğer hizmet olarak yazılım belirteçleri olduğunu yazıyor. Ancak Microsoft, Shai Hulud açık kaynak koduna bir bağlantıdan bahsetmiyor.
npm solucanı Shai-Hulud
NPM solucanı Shai-Hulud, yazılım geliştiricilerini hedef alıyor. Tedarik zinciri saldırıları olarak adlandırılan saldırılarda, kötü amaçlı kod, programcıların projelerine dahil ettiği npm paketlerine yerleştirilmiştir. Bunu yapmak için kötü amaçlı yazılım yazarları genellikle popüler paketlere benzer adlara veya gerçek paket adlarının tipografik varyasyonlarına güvenir. Kötü amaçlı npm paketleri entegre edilmişse kötü amaçlı kod da çalışır. Shai-Hulud 2, geçen Kasım ayında 27.000'den fazla giriş bilgisini çaldı. Bu, saldırganların bulut sağlayıcıların pahalı kaynaklarını kötüye kullanmasına veya casusluk yapmasına ve diğer paketlere bulaşmasına olanak tanır.
Reklamdan sonra devamını okuyun
(DMK)
Bir yanıt yazın