Kütüphane Sızıntısını Aydınlatan Yol: Kaspersky, npm Shai-Hulud Solucan Tedarik Zinciri Saldırısının Ayrıntılarını Şeffaflıkla Paylaşıyor

Shai-Hulud solucanı, kendini çoğaltan bir zararlı yazılım olarak ilk enfeksiyonunu paket ekosistemine yayarken, kimlik doğrulama jetonlarını ele geçiriyor ve meşru paketlerin virüslü sürümlerini otomatik olarak dağıtıyor. 15 Eylül 2025 tarihinde gün yüzüne çıkan bu tehdit, ilk enfeksiyon mekanizmasının incelenmesiyle birlikte, geliştirici hesapları üzerinden sürümler arası yayılımı nasıl hızlandırdığını netleştirdi.

Gözlemci analiz, Shai-Hulud’un toplamda 530 paketten 190 farklı sürümü etkilediğini ortaya koyuyor; bu da güvenlik ihlallerinin birden çok sürüm üzerinde tekrarlı biçimde meydana geldiğini gösteriyor.

Vladimir Gurskiy, Kaspersky Tehdit Araştırması Kötü Amaçlı Yazılım Analisti, şu görüşleri paylaşıyor: “Bu tedarik zinciri saldırısının dinamikleri, depo maruziyetinin gerçek kapsamını ve özel depolar ile bireysel hesaplar arasındaki otomatik taşıma sürecini aydınlatıyor. Geliştirme süreçlerinin güvenliğini artırmaya yönelik çağrımız, tedarik zinciri tehditlerine karşı gerçek zamanlı istihbaratın kritik olduğunu bir kez daha gösteriyor.”

Araştırma, ngx-bootstrap sürüm 18.1.4’ü olayın başlangıç noktası olarak doğruluyor. Ayrıca, başlangıç paketinin kurulum öncesi komutunu benzersiz şekilde kullanması, sonraki enfeksiyonların bir kurulum sonrası aktiviteyle kendini yayıyor gibi görünmesini engelliyor; bu ise solucanın kendi kendini başlatan değil, belirli bir başlangıç noktası olarak hareket ettiğini gösteriyor.

Solucanın, GitHub’da özel kurumsal depoları hedefleyen fonksiyonlar içerdiği ve yalnızca jetonları çalmakla kalmayıp, özel depoları kullanıcı hesaplarına taşıyarak gizli kodları kamusal alanda görünür kılıyor olması, tehdit aktörlerinin tedarik zinciri saldırılarında hangi boyutta bir tehdit oluşturduğunu gösteriyor. HEUR:Worm.Script.Shulud.gen olarak tanımlanan bu zararlı yazılım, kuruluşların GitHub depolarında belirli dalları veya shai-hulud-workflow.yml dosyalarını arayarak enfeksiyon olup olmadığını kontrol edebilmesini sağlıyor. Daha fazla ayrıntı için Securelist’e başvurun.

Kaspersky Açık Kaynak Yazılım Tehditleri Veri Akışı ve diğer savunma stratejileriyle ilgili tavsiyeler, bu tür tedarik zinciri saldırılarına karşı proaktif yaklaşımların önemini bir kez daha vurguluyor:

• Bağımlılıkları sürekli izleyin ve güvenlik açısından kritik paketleri gerçek zamanlı olarak takip edin.
• Güçlü siber güvenlik çözümleriyle kimlik doğrulama jetonları ve krediler üzerinde çok katmanlı koruma sağlayın.
• Linux geliştirme ortamlarında güvenli yapı ve CI/CD süreçleri kurun ki kendi kendine yayılan solucanlar altyapınızı tehlikeye atmasın.
• Kurumlarınız için tümleşik savunma çözümleriyle siber tehdit görünürlüğünü yükselterek, gelişmiş tehditlere karşı anlık koruma elde edin.

Kaynak: Beyaz Haber Ajansı (BYZHA)