Mini Shai-Hulud Solucanı

TeamPCP olarak bilinen tehdit aktörü, TanStack, UiPath, Mistral AI, OpenSearch, Guardrails AI ve diğer birçok ekosistemle ilişkili yaygın olarak kullanılan npm ve PyPI paketlerini hedef alan gelişmiş bir tedarik zinciri saldırı kampanyasıyla bağlantılıdır. Gelişmekte olan Mini Shai-Hulud kötü amaçlı yazılım kampanyasıyla bağlantılı olan bu operasyon, yazılım tedarik zinciri suistimalinde ve kimlik odaklı güvenlik açığı tekniklerinde önemli bir artışı göstermektedir.

Araştırmacılar, kötü amaçlı npm paketlerinin router_init.js adlı gizlenmiş bir JavaScript bileşeni içerecek şekilde değiştirildiğini tespit etti. Bu zararlı yazılım, bulaşmış ortamları profillendiriyor ve bulut sağlayıcılarını, kripto para cüzdanlarını, yapay zeka geliştirme araçlarını, mesajlaşma platformlarını, CI/CD sistemlerini ve GitHub Actions ortamlarını hedef alan gelişmiş bir kimlik bilgisi hırsızı dağıtıyor. Sızdırılan veriler öncelikle filev2.getsession.org alan adına iletiliyor.

Oturum Protokolü altyapısının kullanımı, kurumsal güvenlik kontrollerinden kasıtlı olarak kaçınma girişimini vurgulamaktadır. Alan adı, merkezi olmayan, gizlilik odaklı bir mesajlaşma platformuna ait olduğundan, geleneksel ağ savunmaları tarafından engellenme olasılığı daha düşüktür. İkinci bir veri sızdırma yöntemi olarak, şifrelenmiş veriler, claude@users.noreply.github.com yazar kimliği altında çalınan GitHub kimlik doğrulama belirteçleri kullanılarak GitHub GraphQL API aracılığıyla saldırgan kontrolündeki depolara aktarılmaktadır.

Kalıcılık Mekanizmaları ve Kimlik Bilgisi Hırsızlığının Genişlemesi

Bu kötü amaçlı yazılım, ele geçirilen geliştirme ortamlarına uzun süreli erişimi sürdürmek için tasarlanmış çeşitli kalıcılık ve gözetim yetenekleri sunmaktadır. Claude Code ve Microsoft Visual Studio Code'un içine kalıcılık kancaları yerleştirilerek, kötü amaçlı yazılımın sistem yeniden başlatmalarından sonra da çalışmaya devam etmesi ve IDE'ler her açıldığında otomatik olarak yeniden başlatılması sağlanmaktadır.

Ek olarak, GitHub token'larını sürekli olarak izlemek ve yeniden sızdırmak için bir gh-token-monitor servisi devreye alınmıştır. Ayrıca, ele geçirilen depolara iki kötü amaçlı GitHub Actions iş akışı da enjekte edilmiştir. Bu iş akışları, depo sırlarını JSON formatına dönüştürür ve verileri harici uç nokta api.masscan.cloud'a yükler.

En son TanStack saldırısı, önceki tedarik zinciri olaylarından önemli ölçüde farklılık gösteriyor. Saldırganlar, ön yükleme kancasına güvenmek yerine, kötü amaçlı bir JavaScript dosyasını doğrudan paket tarball'larına yerleştirirken, GitHub'da barındırılan bir pakete bağlı isteğe bağlı bir bağımlılık da eklediler. Bu bağımlılık, yükü Bun çalışma zamanı ortamı aracılığıyla yürüten bir hazırlık yaşam döngüsü kancası içeriyor.

Bulaşmış Mistral AI paketleri, package.json dosyasını node setup.mjs'yi çağıran bir preinstall hook'u ile değiştirerek eski bir enfeksiyon stratejisini benimsedi. Bu işlem Bun'u indirir ve aynı kimlik bilgilerini çalan kötü amaçlı yazılımı çalıştırır.

CVE-2026-45321 ve Güvenilir Yayıncılığın Kötüye Kullanımı

TanStack güvenlik açığı resmi olarak CVE-2026-45321 olarak takip edilmekte ve 9.6'lık kritik bir CVSS puanı almaktadır. Araştırmacılar, TanStack ekosistemindeki 42 paketin ve 84 sürümün etkilendiğini doğruladı.

Analiz, güvenlik açığının, GitHub Actions'ın pull_request_target tetikleyicisini, GitHub Actions önbellek zehirlenmesini ve GitHub Actions çalıştırıcılarından OIDC token'larının çalışma zamanında çıkarılmasını kullanan zincirleme bir GitHub Actions saldırısından kaynaklandığını ortaya koydu. Saldırganların, kötü amaçlı yükleri GitHub çatallarındaki yetim commit'ler aracılığıyla yerleştirdikten sonra bunları npm paket tarball'larına enjekte ettikleri bildirildi. Saldırganlar daha sonra meşru TanStack/router iş akışlarını ele geçirerek, geçerli SLSA kaynak doğrulama belgelerine sahip tehlikeye atılmış paketleri yayınladılar.

Bu gelişme, yazılım tedarik zinciri saldırılarında tarihi bir tırmanışa işaret ediyor. Kötü amaçlı paketler, geçerli SLSA Build Level 3 kaynak imzaları taşıyordu ve bu da, gerçek derleme onaylarıyla kötü amaçlı paketleri dağıtabilen ilk belgelenmiş npm solucanı olma özelliğini taşıyor. Kötü amaçlı yazılım kampanyası daha sonra TanStack'in ötesine genişleyerek UiPath, DraftLab ve diğer geliştiriciler tarafından sürdürülen ekosistemlere yayıldı.

Bu operasyon, güvenilir yayınlama iş akışlarını ciddi şekilde kötüye kullanıyor. Saldırgan, npm kimlik bilgilerini doğrudan çalmak yerine, güvenilir CI/CD işlem hatları içinde çalışan ve OIDC izinlerini kullanarak derleme işlemi sırasında kısa ömürlü yayınlama belirteçleri oluşturdu. Bu, kötü amaçlı paketlerin geleneksel kimlik doğrulama önlemlerini atlayarak meşru yayınlama işlem hatları aracılığıyla yayınlanmasına olanak sağladı.

Kendiliğinden Çoğalan Solucan Davranışı Endişe Verici Durumlar Yarattı

Mini Shai-Hulud kampanyasının en tehlikeli yönlerinden biri, solucan benzeri yayılma modelidir. Kötü amaçlı yazılım, bypass_2fa=true ile yapılandırılmış yayınlanabilir npm token'larını aktif olarak arar, ele geçirilen geliştirici tarafından sürdürülen paketleri listeler ve GitHub OIDC token'larını paket başına yayın token'larıyla değiştirir. Bu mekanizma, kötü amaçlı yazılımın geleneksel kimlik bilgisi hırsızlığı tekniklerine dayanmadan paket ekosistemlerinde yatay olarak yayılmasını sağlar.

Saldırı ayrıca GitHub'ın OIDC güvenilir yayıncı modelindeki depo düzeyindeki güven yapılandırmalarını da istismar etti. Güven, korunan dallar ve belirli iş akışı dosyalarıyla sınırlı olmak yerine, depo düzeyinde geniş bir şekilde verildiği için, yetim kalmış commit'ler tarafından tetiklenen kötü amaçlı iş akışı yürütmeleri, meşru npm yayın belirteçleri talep edebildi.

Bir diğer rahatsız edici özellik ise 'ölü adam anahtarı'nın devreye alınmasını içeriyor. Kötü amaçlı yazılım, saldırgan tarafından oluşturulan npm token'larının aktif olup olmadığını belirlemek için her 60 saniyede bir api.github.com/user uç noktasına tekrar tekrar sorgu gönderen bir shell betiği yüklüyor. Bu token'lar, "Bu token'ı iptal ederseniz, sahibinin bilgisayarını siler" şeklinde tehdit edici bir açıklama taşıyor.

Eğer savunmacılar npm kontrol paneli üzerinden token'ı iptal ederse, kötü amaçlı yazılım rm -rf ~/ komutunu çalıştıran yıkıcı bir rutin başlatır ve enfeksiyonu etkili bir şekilde silme amaçlı kötü amaçlı yazılıma dönüştürür. Bu agresif davranış, TeamPCP'nin operasyonel taktiklerinde önemli bir evrimi ve zorlayıcı kalıcılık yöntemlerinde artan bir gelişmişliği göstermektedir. Bu nedenle, güvenlik ekiplerine, tehlikeye atılmış npm kimlik bilgilerini iptal etmeden önce enfekte olmuş sistemleri izole etmeleri ve imajlarını almaları tavsiye edilir.

Etkilenen Paketler ve Genişleyen Ekosistem Etkisi

Kampanya, hem npm hem de PyPI'da 170'ten fazla paketi etkiledi ve toplamda 518 milyondan fazla indirmeye yol açtı. Araştırmacılar ayrıca, çalınan kimlik bilgileri kullanılarak oluşturulmuş ve hepsinde 'Shai-Hulud: Here We Go Again' ifadesi bulunan en az 400 depoyu tespit etti.

Etkilenen paketler şunlardır:

guardrails-ai@0.10.1 (PyPI)
mistralai@2.4.6 (PyPI)
@opensearch-project/opensearch@3.5.3, 3.6.2, 3.7.0, 3.8.0
@squawk/mcp@0.9.5
@squawk/weather@0.5.10
@squawk/flightplan@0.5.6
@tallyui/connector-medusa@1.0.1, 1.0.2, 1.0.3
@tallyui/connector-vendure@1.0.1, 1.0.2, 1.0.3

Kötü amaçlı yazılım ayrıca birden fazla yedekli veri sızdırma kanalı kullanmaktadır. Oturum Protokolü altyapısı ve GitHub gizli noktalarına ek olarak, çalınan kimlik bilgileri yazım hatası içeren git-tanstack.com alan adı üzerinden iletilmektedir.

PyPI Kötü Amaçlı Yazılımı Coğrafi Sınırlandırmaya Dayalı Yıkıcı Mantık Sunuyor

Kötü amaçlı Mistral AI ve Guardrails AI paketleriyle ilişkili Python tabanlı kötü amaçlı yazılım varyantları, npm aracılığıyla dağıtılan JavaScript yüklerinden önemli ölçüde farklılık göstermektedir. Ele geçirilen mistralai PyPI paketi, 83.142.209.194 uzak sunucusundan bir kimlik bilgisi hırsızı indirmektedir.

Araştırmacılar, Python kötü amaçlı yazılımının Rusça konuşulan ortamlarda çalıştırılmasını önlemek için tasarlanmış ülke tabanlı bir mantık içerdiğini keşfetti. Ayrıca, bulaşmış sistemin İsrail veya İran'da bulunduğu tespit edilirse rm -rf / komutunun çalıştırılma olasılığını altıda bire çıkaran coğrafi olarak sınırlandırılmış bir yıkıcı mekanizma da içeriyor.

Bu davranış, açık kaynaklı paket ekosistemlerinde bölgeye duyarlı yıkıcı yük dağıtımına doğru endişe verici bir evrimi göstermektedir.

Kimlik Odaklı Tedarik Zinciri Saldırılarının Artan Tehdidi

Mini Shai-Hulud saldırısı, modern tedarik zinciri saldırılarındaki daha geniş bir dönüşümü yansıtıyor. Tehdit aktörleri, yalnızca paket güvenliğinin ihlal edilmesine odaklanmak yerine, giderek daha çok güvenilir CI/CD kimliklerini, yayın iş akışlarını ve bulut tabanlı otomasyon süreçlerini hedef alıyor.

Saldırganlar yazılım yayınlama altyapısına erişim sağladıktan sonra, geliştirme süreci bizzat kötü amaçlı yazılım dağıtım mekanizması haline gelir. Birçok kötü amaçlı eylem meşru iş akışları, güvenilir onaylar ve orijinal yayın sistemleri aracılığıyla gerçekleştiğinden, geleneksel güvenlik kontrolleri kötü amaçlı davranışı tespit edemeyebilir.

Bu yeni nesil tedarik zinciri saldırılarını tanımlayan temel özellikler şunlardır:

• Güvenilir yayıncılık ve OIDC token değişim mekanizmalarının kötüye kullanımı
• Meşru CI/CD iş akışları ve derleme sistemleri aracılığıyla yayılma

• Kötü amaçlı paketleri gizlemek için geçerli SLSA onaylarının kullanılması

• Çok kanallı kimlik bilgisi sızdırma ve kalıcı saklama işlemleri

• Savunmacıları korkutmak için tasarlanmış yıkıcı misilleme mekanizmaları

Kampanyanın yapay zeka araçları, kurumsal otomasyon, arama altyapısı, ön uç geliştirme, havacılıkla ilgili araçlar ve CI/CD ekosistemleri genelinde genişlemesi, yazılım tedarik zincirlerinin ne kadar derinlemesine birbirine bağlı hale geldiğini göstermektedir. Paket kurulumu ve derleme yürütme sırasında davranışsal izleme, ilk bakışta meşru görünen tehditleri tespit etmek için giderek daha kritik hale gelmektedir.