Bu özel bir açık kaynak projesidir: TeamPCP siber çetesinin dehaları Shai-Hulud npm solucanının kaynak kodunu GitHub'da yayınladı. Ayrıca BreachForums yeraltı forumunda bir yarışma düzenlediler ve diğer suçlulardan kodu denemelerini istediler.
Duyurudan sonra devamını okuyun
Bir blog yazısında Mondoo'daki BT araştırmacıları, ilk klonların yalnızca birkaç gün sonra npm'de ortaya çıktığını yazdı. Örneğin tek bir saldırgan, dört kötü amaçlı paket, Shai-Hulud'un kendi komuta ve kontrol altyapısına sahip neredeyse aynı bir kopyası ve “Axios”un yazım hatalı üç versiyonunu yükledi. Virüslü sistemleri bir DDoS ağına entegre eden botnet kötü amaçlı yazılımları içerirler. Bilgisayar araştırmacıları hedefin büyük elli programcılar olduğunu açıklıyor. Haftalık indirme sayısı şu anda 2600 civarında, bu da npm paketleri için aslında düşük bir rakam. OXsecurity birkaç kopyayı daha listeler. İlgili birçok taraf artık kaynak koduna güvenebileceğinden, çok sayıda npm solucan paketi bekleniyor.
Shai Hulud tedarik zincirine yönelik mevcut saldırı
Grubun Bluesky'de açıkladığı gibi, Microsoft'un Tehdit İstihbaratının yeni ortaya çıkan bir mini Shai Hulud tedarik zinciri saldırısını soruşturması da uygun. Saldırganlar “antv”yi hedef aldılar: proje yöneticisinin hesabını ele geçirmeyi ve yaygın olarak kullanılan paketlerin “antv/g2” gibi virüslü sürümlerini yayınlamayı başardılar. Bu paketler bağımlılık olarak yaygın şekilde kullanılmaktadır. Güvenliği ihlal edilen paketler, echarts-for-react gibi kitaplıklara yayıldı ve çok çeşitli uygulamaları ve derleme sistemlerini etkiledi.
Burada da kötü amaçlı kod, oturum açma verilerini aramak ve çalmak için kullanılıyor. Microsoft, gıpta edilen hedeflerin kişisel GitHub erişim belirteçleri, OpenID belirteçleri, Amazon AWS kimlik bilgileri ve güvenlik belirteçleri, SSH anahtarları, Kube yapılandırmaları veya diğer Hizmet Olarak Yazılım belirteçleri olduğunu yazıyor. Ancak Microsoft, Shai Hulud açık kaynak koduna bir bağlantıdan bahsetmiyor.
solucan npm Shai-Hulud
Shai-Hulud npm solucanı yazılım geliştiricilerini hedef alıyor. Tedarik zinciri saldırıları olarak adlandırılan saldırılarda, programcıların projelerine eklediği npm paketlerine kötü amaçlı kod yerleştirilir. Kötü amaçlı yazılım yazarları bunu yapmak için genellikle popüler paketlere benzer adlara veya gerçek paket adlarının tipografik varyasyonlarına güvenir. Kötü amaçlı npm paketleri gömülüyse, kötü amaçlı kod da yürütülür. Shai-Hulud 2, geçen Kasım ayında 27.000'den fazla giriş bilgisini çaldı. Bu, saldırganların bulut sağlayıcılarının pahalı kaynaklarını kötüye kullanmasına veya casusluk yapmasına ve diğer paketlere bulaşmasına olanak tanır.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın