Yeni bir solucan çok sayıda NPM paketine saldırıyor ve oturum açma verilerini çalıyor. Kötü amaçlı yazılım kodu “SHA1HULUD” tanımlayıcısını içeriyor, bu nedenle güvenlik analistleri buna “Shai-Hulud 2.0” adını veriyor. Ancak saldırganların kendilerinin her iki sürümü de npm ekosisteminde uygulayıp uygulamadıkları veya bedava kullanıcılar olup olmadıkları belli değil. Her durumda: Kötü amaçlı yazılım geliştiricileri ilk saldırı dalgasından ders aldı ve darboğazları ortadan kaldırdı. Temizleme çalışmaları devam ediyor; geliştiricilerin ve kullanıcıların dikkatli olması gerekiyor.
Duyurudan sonra devamını okuyun
Pazartesi öğleden sonra itibarıyla, ayda 100 milyondan fazla indirilen 425 npm'den fazla pakete virüs bulaştı; aralarında Ethereum Name Service (ENS) alan temalı paketler, çeşitli API'ler, Zapier ve Postman gibi düşük kodlu ve kodsuz platformlar da bulunuyor. Görünüşe göre ilk etkilenenler “go-template” paketleri ve “AsyncAPI” altındaki çeşitli depolardı; 21 Kasım ile 23 Kasım tarihleri arasında, yani bir hafta sonu boyunca yüklendiler.
Kötü amaçlı yazılım, yakalanan arşivlerdeki oturum açma verilerini arar ve bunları kurbanın hesabı altında Github'da yayınlar. İsminin “Şa1-Hulud: İkinci Geliş” olması onu bulmayı kolaylaştırıyor. Bu şekilde geliştiriciler, en son solucan salgınında merkezi bir darboğazın üstesinden geldi: Daha sonra, kötüye kullanılan uç noktayı hızlı bir şekilde engelleyen bir web kancası platformu kullanıldı. Bu arada Github, etkilenen depoları kaldırmakla meşgul, ancak yel değirmenlerine karşı mücadele ediyor gibi görünüyor: saldırı kampanyası devam ediyor ve yeni kod dizinleri sürekli olarak oluşturuluyor: öğleden sonra 2.30 civarında. Pazartesi öğleden sonra 27.800'den fazla kişi vardı.
Sha1-Hulud tarafından oluşturulan depoların yapısı her zaman aynıdır: json dosyaları, virüslü kullanıcının gizli oturum açma verilerini içerir.
Son teslim tarihinden hemen önce, solucanlı iş akışları
Çeşitli Github iş akışları, kimlik bilgilerine erişim ve virüslü makinelere arka kapı kurulumu sağlar. Bu, virüs bulaşmış depolardaki tartışma işlevi (deyim yerindeyse kendi kendine barındırılan bir komut ve kontrol (C&C) sunucusu) aracılığıyla kontrol edilebilir. Yanıltıcı “Kod Formatlayıcı” adındaki ikinci bir iş akışı, saldırıya uğrayan Github hesabının sırlarını arar ve bunları JSON formatında yükler. Görünüşe göre Sha1-Hulud, özel kötü amaçlı kodlarla Linux, Windows ve macOS'u destekliyor.
Saldırı, npm'deki geniş kapsamlı güvenlik değişikliğinden sadece birkaç gün önce gerçekleşti: Ekosistemin operatörleri, paket yöneticilerinin kimliğini doğrulamak için kullanılan “klasik belirteçleri” kaldıracaklarını duyurdu. Değişiklik 9 Aralık'ta yürürlüğe girecek; o tarihten önce Sha1-Hulud geliştiricileri muhtemelen yeniden saldırmak istiyordu.
Duyurudan sonra devamını okuyun
Etkilenen paketler
Wiz, Koi ve Aikido'nun Pazartesi öğleden sonra erken saatlerde ortaklaşa bildirdiği üzere, etkilenen paketlerin tam listesini burada bulabilirsiniz:
Wiz uzmanları, solucanı bir grup veya saldırgan ulusa bağlarken dikkatli davranıyorlar: bu bağlantı henüz doğrulanamıyor. Mevcut salgının birçok yöntemi önceki Shai Hulud solucanına benziyor ancak farklılıklar da var.
Sha1-Hulud'u tespit edin ve durdurun
Enfeksiyonları tespit etmek ve durdurmak için kuruluşların öncelikle tüm geliştirme altyapılarını şüpheli sinyallere, özellikle de virüs bulaştığı bilinen paketlere karşı taraması gerekir. Bunlar derhal silinmeli, otomatik paket güncellemeleri başlangıçta kapatılmalı ve bir enfeksiyondan şüpheleniliyorsa yöneticiler tüm giriş bilgilerini değiştirmelidir. Bu, Github ve npm gibi geliştirme platformlarının yanı sıra GCP, AWS ve Azure gibi hiper ölçekleyicilere erişim için de geçerlidir.
(cku)
Bir yanıt yazın