Tedarik Zinciri Haberleri
Teknoloji

NPM Ekosisteminde Yeni Worm-Tipi Tedarik Zinciri Saldırısı: 16 Namastex Paketinde Kötücül Kod Tespit Edildi

Yazar: Sedat Onat
NPMtedarik zinciri saldırısıShai-HuludNamastex LabsSocketStepSecuritySSH keysKubernetesMetaMaskPyPI
Shai-Hulud 2.0 NPM saldırısı görseli — kendini kopyalayan tedarik zinciri saldırısını temsil ediyor
NPM Ekosisteminde Yeni Worm-Tipi Tedarik Zinciri Saldırısı: 16 Namastex Paketinde Kötücül Kod Tespit Edildi
0:00
0:00

Yazılım geliştiricilerini hedef alan tehlikeli bir siber saldırı dalgası, NPM paket yöneticisi üzerinden yayılarak kritik kimlik bilgilerini ele geçirmeye başladı. Güvenlik araştırmacıları, 21 Nisan'da başlayan sızma girişiminin etkilenen hesaplar aracılığıyla otomatik olarak yayıldığını saptadı.

Socket ve StepSecurity ekipleri, Namastex Labs tarafından yayınlanan 16 farklı pakette siber saldırganlarca yerleştirilmiş kötücül kodlar buldu. Zararlı yazılım yalnızca veri çalmakla yetinmiyor; geliştiricinin yetki anahtarlarını kullanarak kendini diğer paketlere de enjekte ediyor. Yapay zekâ ajanları ile veritabanı kütüphanelerinin seçilmesi, saldırının yüksek değerli hedeflere odaklandığını gösteriyor.

Solucan benzeri davranış sergileyen mekanizma; çevre değişkenlerini ve yapılandırma dosyalarını tarayarak bulduğu NPM yayınlama yetkilerini kötüye kullanıyor, etkilenen paketlerin sürüm numarasını yükselterek yeniden yayınlıyor. Hedefler arasında SSH anahtarlarından bulut servis kimliklerine, Kubernetes yapılandırmalarına, büyük dil modellerinin erişim kodlarına ve Chrome ile Firefox'taki MetaMask/Phantom kripto cüzdanlarına kadar geniş bir yelpaze yer alıyor. PyPI kimlik bilgileri bulunması durumunda saldırı çapraz platforma da yayılabiliyor.

Savunma birimleri, CI/CD boru hatlarına sızan yapıların temizlenmesi için tüm yetki anahtarlarının acilen değiştirilmesini ve etkilenen sürümlerin kazınmasını hayati önemde görüyor. Geliştirici topluluğu, çok faktörlü kimlik doğrulama uygulamalarını sıkılaştırma kararı aldı; uzmanlar olağandışı sürüm artışlarına karşı tetikte olunmasını öneriyor. Olay, tedarik zinciri güvenliği disiplininin yazılım dünyasında ne kadar kritik olduğunu bir kez daha hatırlatıyor.


Önemli Notlar:
1. 21 Nisan'da başlayan worm-tipi saldırı, NPM ekosistemindeki Namastex paketlerini hedef aldı.
2. Socket ve StepSecurity, 16 pakette kötücül kod tespit etti.
3. Hedefler: SSH, bulut, Kubernetes, LLM tokenları, MetaMask/Phantom cüzdanları.
4. PyPI kimlik bilgileri ile saldırı çapraz platforma yayılabiliyor.
5. CI/CD boru hatlarında tüm yetki anahtarlarının rotasyonu ve etkilenen sürümlerin kaldırılması zorunlu.