Shai Hulud v2 Kötü Amaçlı Yazılım
Shai-Hulud tedarik zinciri saldırısının ikinci dalgası, npm kayıt defterindeki 830'dan fazla paketin tehlikeye atılmasının ardından Maven ekosistemine de sıçradı. Araştırmacılar, önceki npm saldırılarıyla aynı kötü amaçlı bileşenleri içeren org.mvnpm:posthog-node:4.18.1 adlı bir Maven Central paketi tespit etti: setup_bun.js yükleyicisi ve bun_environment.js yükü. Şu anda, etkilenen bilinen tek Java paketi bu.
Maven paketinin PostHog tarafından yayınlanmadığı dikkat çekicidir. Bunun yerine, npm paketlerini Maven ürünleri olarak yeniden oluşturan otomatik bir mvnpm işlemi aracılığıyla oluşturulmuştur. Maven Central, tüm yansıtılmış kopyaların 25 Kasım 2025 itibarıyla temizlendiğini ve tehlikeye atılmış npm bileşenlerinin yeniden yayınlanmasını önlemek için ek korumaların uygulandığını doğruladı.
İçindekiler
Küresel Geliştirici Etkisi ve Saldırı Hedefleri
Bu son dalga, dünya çapındaki geliştiricileri hedef alarak şu hassas verileri çalmayı amaçlıyor:
- API anahtarları
- Bulut kimlik bilgileri
- npm ve GitHub tokenları
Ayrıca, solucan benzeri, kendi kendini kopyalayan bir şekilde daha derin tedarik zinciri ihlallerini de kolaylaştırır. Shai-Hulud'un bu versiyonu, ilk Eylül versiyonundan daha gizli, agresif ve yıkıcıdır. Saldırganlar, npm bakımcı hesaplarını ele geçirerek, geliştirici makinelerinin arka kapısını açan ve GitHub depolarına sızdırmak üzere gizli bilgileri otomatik olarak tarayan truva atı içeren paketler yayınlayabilir.
Kötü Amaçlı Yazılım Nasıl Çalışır: Çift İş Akışları ve Gizli Teknikler
Saldırıda iki kötü amaçlı iş akışı kullanılıyor:
- Kendi kendine barındırılan koşucu kaydı: GitHub Tartışması açıldığında keyfi komut yürütülmesine izin verir.
- Sır toplama iş akışı: Sistematik olarak kimlik bilgilerini toplar ve bunları GitHub'a gönderir.
- Shai-Hulud v2'deki temel geliştirmeler şunlardır:
- Çekirdek mantığını gizlemek için Bun çalışma zamanının kullanımı
- Enfeksiyon sınırının 20'den 100 pakete çıkarılması
- Tespit edilmekten kaçınmak için GitHub'da rastgele sızdırma depoları
Şu ana kadar 28.000'den fazla deponun etkilenmesi, kampanyanın ne kadar büyük bir ölçekte ve gizlilikle yürütüldüğünü gösteriyor.
İstismar Edilen Güvenlik Açıkları ve Tedarik Zinciri Mekaniği
Tehdit aktörleri, GitHub Actions iş akışlarındaki CI yanlış yapılandırmalarından, özellikle de pull_request_target ve workflow_run tetikleyicilerinden faydalandı. Tek bir yanlış yapılandırılmış iş akışı, bir deponun "hasta sıfır"a dönüşmesine ve kötü amaçlı kodun hızla yayılmasına neden olabilir.
Saldırı, Ağustos 2025'te npm'deki çeşitli Nx paketlerini etkileyen S1ngularity saldırısıyla başlayan daha geniş kapsamlı bir kampanyanın devamı niteliğinde olup, AsyncAPI, PostHog ve Postman ile ilişkili projeleri hedef aldı.
Sonuç: Sızdırılan Sırlar ve Sistemsel Risk
Kampanyanın analizi şunu gösteriyor:
- AWS, Google Cloud ve Microsoft Azure'dan yüzlerce GitHub erişim belirteci ve bulut kimlik bilgisi sızdırıldı.
- GitHub'a 5.000'den fazla gizli dosya yüklendi.
- 24 Kasım 2025 tarihi itibarıyla 4.645 depoda tespit edilen 11.858 benzersiz sırrın 2.298'i geçerliliğini korumuş ve kamuoyuna açık hale gelmiştir.
Bu, tek bir tehlikeye maruz kalan bakımcının nasıl bir basamak etkisi yaratarak binlerce alt akış uygulamasını etkileyebileceğini göstermektedir.
Geliştiriciler İçin Öneriler
Maruziyeti azaltmak için geliştiriciler şunları yapmalıdır:
- Tüm API anahtarlarını, belirteçlerini ve kimlik bilgilerini döndürün
- Tehlikeye maruz kalan bağımlılıkları denetleyin ve kaldırın
- Temiz paket sürümlerini yeniden yükleyin
- En az ayrıcalıklı erişim, gizli tarama ve otomatik politika uygulamasıyla CI/CD ortamlarını güçlendirin
Shai-Hulud, modern yazılım tedarik zincirinin hala oldukça savunmasız olduğunu vurguluyor. Saldırganlar, açık kaynaklı yazılımların nasıl yayınlandığı, paketlendiği ve dağıtıldığı konusundaki açıklardan, genellikle sıfırıncı gün güvenlik açıklarına güvenmeden yararlanmaya devam ediyor. En etkili savunma, yazılımın nasıl oluşturulduğunu, paylaşıldığını ve tüketildiğini yeniden düşünmeyi gerektiriyor.
