Çoklu Lisans İndirim Teklifi
Bilgisayar Güvenliği CrowdStrike, Shai-Hulud ve CISA 2015'in Yaklaşan Sona...

CrowdStrike, Shai-Hulud ve CISA 2015'in Yaklaşan Sona Ermesi: ABD Yazılım Tedarik Zinciri Saldırılarını Neden Göz Ardı Edemez?

Sandos'de Bilgisayar Güvenliği'de
Çevir:

Kırılgan Zincirler Kırılgan Yasalarla Buluşuyor

2025'in güvenlik manşetlerine fidye yazılımı çeteleri, yapay zeka destekli siber tehditler ve jeopolitik saldırı kampanyaları damga vurdu. Ancak daha sessiz ve sinsi bir trend, açık kaynak dünyasının tedarik zincirlerinde, özellikle de npm JavaScript ekosisteminde yaşanıyor.

"Shai-Hulud" adı altında toplanan son saldırı dalgası, CrowdStrike ad alanı altında yayınlananlar da dahil olmak üzere düzinelerce npm paketini tehlikeye attı. Sadece bu gerçek bile alarm zillerini çalmalı: Saldırganlar dünyanın en tanınmış siber güvenlik sağlayıcılarından biriyle ilişkili paketleri zehirleyebildiğinde, yazılım ekosistemine olan güven tehlikeye girer.

Ve bu, kritik bir politika zemininde ortaya çıkıyor: 2015 Siber Güvenlik Bilgi Paylaşım Yasası'nın (CISA 2015) Eylül ayı sonunda sona ermesi bekleniyor. CISA 2015, özel sektör ve federal kurumlar arasında gönüllü ve sorumluluktan muaf uzlaşma göstergelerinin (IOC) paylaşımının temelini oluşturuyor. Eğer bu yasa yürürlükten kalkarsa, ABD, bir eli arkada bağlı bir şekilde Shai-Hulud tarzı saldırılarla mücadele etmeye çalışacak.

Shai-Hulud Harekatı: Bir Tedarik Zinciri Saldırısının Anatomisi

1. İlk Uzlaşma

Saldırganlar, meşru paketlere bağlı npm hesaplarına (bazıları bireysel bakımcılara, diğerleri ise kurumsal ad alanlarına ait) sızdılar. package.json dosyasını değiştirip bundle.js adlı kötü amaçlı bir dosya yerleştirerek, güvenilir sayılabilecek projelere truva atı bulaştırdılar.

2. Yük: Bundle.js İmplantı

İmplant, sinsi bir "script kiddie" kötü amaçlı yazılımı değil. Bir dizi hassas, otomatik görevi yürütüyor:

  • Jeton hasadı : NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID ve AWS_SECRET_ACCESS_KEY gibi sırları ana bilgisayar ortamında arar.
  • Araç dağıtımı : Normalde depoları sızdırılmış sırlar için taramak amacıyla kullanılan açık kaynaklı bir yardımcı program olan TruffleHog'u indirir ve çalıştırır. Burada, yerel sistemleri taramak için saldırgan bir şekilde yeniden tasarlanmıştır.
  • Doğrulama : Hangi kimlik bilgilerinin etkin olduğunu onaylamak için hafif API istekleri gerçekleştirerek toplanan belirteçleri doğrular.
  • CI/CD aracılığıyla kalıcılık : Kötü amaçlı GitHub Actions iş akışlarını (genellikle shai-hulud.yaml veya shai-hulud-workflow.yml olarak adlandırılır) eklemek için .github/workflows dizinlerini oluşturur veya değiştirir. Bu iş akışları, gelecekteki CI/CD çalıştırmaları sırasında gizli bilgileri yeniden sızdırabilir.
  • Sızma : Çalınan kimlik bilgilerini ve sonuçları, genellikle tek kullanımlık altyapı üzerinden kontrol edilen, sabit kodlu webhook uç noktalarına gönderir.

    • 3. Yayılma

    Npm paketleri birbirleriyle derinlemesine bağlantılı olduğundan, tek bir güvenlik ihlali bile zincirleme olarak gerçekleşebilir. Kötü amaçlı sürümler npm kayıt defterlerine yüklenmiş ve bağımlılıkları güncelleyen veya yükleyen geliştiricilere otomatik olarak dağıtılmıştır. Bu, binlerce alt projenin yanlışlıkla zehirli kod çekmiş olabileceği anlamına gelir.

    Eylül ayının başlarında yaşanan tinycolor olayı bu riski gözler önüne seriyor. Bu kütüphane ( @ctrl/tinycolor ) haftada milyonlarca kez indiriliyor. Shai-Hulud yüküyle tehlikeye atıldığında, 40'tan fazla alt akış paketi zehirlendi.

    4. CrowdStrike Ad Alanı İhlali

    En endişe verici keşif, @crowdstrike npm ad alanı altında yayınlanan paketlerin de tehlikeye atılmış olmasıydı. Socket.dev, bazıları 14-16 Eylül 2025 tarihleri arasında hızlı bir şekilde yayınlanan düzinelerce zehirli sürüm tespit etti.

    CrowdStrike'ın kendi iç altyapısının ihlal edildiğine dair bir kanıt olmasa da itibar ve sistem açısından ciddi sonuçlar doğuruyor:

    • Geliştiriciler @crowdstrike gibi satıcı ad alanlarının kesin olmasını bekliyor.
    • Zehirli bir ad alanı yalnızca satıcıya değil, npm'in kendisine olan güveni de sarsar.
    • Rakipler böyle bir uzlaşmanın sembolik ve pratik gücünü açıkça anlamışlardı.

    Teknik Göstergeler ve Gözlemlenebilirler

    Bunu daha da sağlamlaştırmak için, Shai-Hulud paketlerinin analizinden aşağıdaki teknik işaretler ortaya çıktı:

    • Kötü amaçlı dosyalar : bundle.js , index.js (bundle'ı çağırmak için değiştirildi), .github/workflows/ dizinine eklenen iş akışı dosyaları.
    • İş akışı yükleri : Genellikle gizli bilgileri kıvırma ve saldırganın web kancalarına POST gönderme adımlarını içerir.
    • Karma yeniden kullanımı : Birden fazla paketteki bundle.js dosyalarının aynı SHA-256 karmaları, kampanya koordinasyonunu doğruluyor.
    • Sızma uç noktaları : Ticari platformlarda barındırılan web kancaları (örneğin, Discord, Slack gelen web kancaları veya geçici bulut hizmetleri).
    • Yayınlama kalıpları : Dakikalar içinde yayınlanan düzinelerce paket sürümü, manuel yayıncılıktan ziyade otomatik araçlarla tutarlıdır.

      • Bu göstergeler sadece adli tıp bilgisi değil. Rakibin otomasyonunu ve disiplinini vurguluyorlar; bu, deney amaçlı değil, ölçeklendirme amaçlı tasarlanmış bir kampanyaydı.

      Tedarik Zinciri Saldırıları Neden Bu Kadar Tehlikeli?

      Tedarik zinciri saldırıları dış çevreyi atlatarak gerçekleşir. Güvenlik duvarlarını aşmak yerine, kuruluşların günlük olarak kullandığı güvenilir yazılım güncellemeleri ve kütüphanelerin içine girerler.

      • Erişim ölçeği : tinycolor gibi tek bir npm paketini veya @crowdstrike gibi bir kurumsal ad alanını tehlikeye atmak, potansiyel olarak binlerce alt akış sistemini ifşa eder.
      • Güven gaspı : Geliştiriciler doğası gereği paket yöneticilerine güvenirler; zehirli güncellemeler otomatik olarak yüklenir.
      • Gizlilik ve kalıcılık : Kötü amaçlı GitHub Actions iş akışlarını yerleştirerek saldırgan, orijinal kötü amaçlı sürüm kaldırıldıktan sonra bile tekrarlayan sızmaların gerçekleşmesini sağlar.

      Shai-Hulud gibi saldırıların stratejik açıdan önemli olmasının nedeni budur: Modern yazılım geliştirme mekanizmalarını (paket yöneticileri, CI/CD hatları, açık kaynaklı bağımlılıklar) saldırı yüzeylerine dönüştürürler.

      CISA 2015'in Sona Ermesi Neden Riskleri Artırıyor?

      CISA 2015'in Rolü

      2015 tarihli Siber Güvenlik Bilgi Paylaşım Yasası, özel kuruluşların tehdit göstergelerini herhangi bir sorumluluk altına girmeden DHS (ve daha sonra CISA) ile paylaşmalarına olanak tanıyan çerçeveler oluşturmuştur. Yasanın hedefleri şunlardır:

      • IOC'lerin sektörler arasında hızla paylaşılmasını teşvik edin .
      • İyi niyetle göstergelerini açıklayan şirketlere sorumluluk koruması sağlayın .
      • Makine tarafından okunabilir değişim için teknik formatları (STIX/TAXII) standartlaştırın .

      Son Kullanma Tarihi Riskleri

      Eğer yasa Eylül ayı sonunda yürürlükten kalkarsa:

      1. Azaltılmış Paylaşım : Shai-Hulud'dan etkilenen bakımcılar, kayıt defterleri ve satıcılar, dava veya düzenleyici tepki korkusuyla ayrıntıları paylaşmaktan çekinebilirler.
      2. Parçalanmış Tepki : Federal koordinasyon olmadan, devam eden saldırılara ilişkin istihbarat, bireysel satıcılar veya araştırmacılar arasında bölünmüş olarak kalacaktır.
      3. Daha Yavaş Etki Azaltma : Tedarik zinciri saldırılarında zaman kritik öneme sahiptir. CISA'nın çerçevesi olmadan, keşif ile topluluk savunması arasındaki gecikme tehlikeli bir şekilde uzayabilir.
      4. Güvenin Aşınması : CrowdStrike ad alanı ihlali nedeniyle zaten sarsılmış olan açık kaynak topluluğu, güçlü ve koordineli bir federal-özel yanıt olmadığı takdirde merkezi kayıtlara güvenme konusunda daha da isteksiz hale gelebilir.

      Politika ve Endüstri Önerileri

      1. Acil Yasal Eylem

      Kongre , CISA 2015'i Eylül ayı sona ermeden yenilemeli veya uzatmalıdır . Aksi takdirde, ABD'nin artan siber risk karşısında kendini zorladığı sinyalini rakiplere verecektir.

      2. Kayıt Defteri Güçlendirme

      npm, PyPI, RubyGems ve diğer kayıt defterlerinin daha güçlü güvenlik önlemlerine ihtiyacı var:

      • Yayıncılar için zorunlu çok faktörlü kimlik doğrulama .
      • Olağandışı yayın patlamaları için otomatik anormallik tespiti .
      • Yayımlanmış paketler için kod imzalama .
      • CI/CD sistemlerine gömülü paket menşe kontrolleri .

      3. Satıcı Ad Alanı Koruması

      CrowdStrike gibi satıcılar şunları göz önünde bulundurmalıdır:

      • İşletmeleri değiştirilmiş sürümlerden korumak için kamuya açık paketlerin özel aynaları .
      • Ad alanı ele geçirmeye karşı sürekli izleme.
      • Her sürüm için kamuya açıklanan "bilinen iyi" karmalar.

      4. Özel Sektör Denetimleri

      Kuruluşlar şunları yapmalıdır:

      • Bağımlılıkları sabit sürümlere sabitleyin.
      • Yetkisiz değişiklikler için CI/CD iş akışlarını denetleyin.
      • Açığa çıkması durumunda kimlik bilgilerinizi (npm tokenları, GitHub tokenları, bulut anahtarları) hemen döndürün.

      5. Federal-Özel İşbirliği

      CISA geçici olarak sona erse bile, boşluğu geçici yapıların doldurması gerekir:

      • CISA, Socket.dev, GitHub ve npm arasındaki ortak tavsiyeler.
      • Kötü amaçlı karmaların ve uç noktaların gerçek zamanlı beslemeleri.
      • Açık kaynaklı bakımcılara (genellikle ücretsiz gönüllüler) finansal ve teknik destek.

      Sonuç: Zayıflıkların Çatışması

      Shai-Hulud kampanyası, tedarik zinciri saldırılarının artık "uç vakalar" olmadığını, standart bir düşman taktiği haline geldiğini kanıtlıyor. CrowdStrike ad alanı altındaki paketlerin ele geçirilmesi, ekosisteme duyulan güvenin ne kadar kırılgan hale geldiğini gösteriyor.

      Ve bu tehdit giderek artarken, ABD CISA 2015'in süresinin dolmasına izin verebilir; böylece bilgi paylaşımını ve hızlı müdahaleyi mümkün kılan yasal yapı ortadan kalkabilir.

      Ders çok açık: Yasal düzenlemelerin yenilenmesi ve sektör reformunun yapılmaması durumunda ABD, yazılım tedarik zincirinde şimdiye kadarki en tehlikeli uzlaşma dönemine girme riskiyle karşı karşıya; bu dönemde rakipler hem teknik zaaflardan hem de politika boşluklarından yararlanıyor.

      Özetle: kırılgan kod + kırılgan hukuk = ulusal risk.

      Yükleniyor...