npm tedarik zinciri saldırısı geliştirici altyapılarını hedefliyor; ENS paketleri ve popüler JavaScript kütüphaneleri etkilendi. Bağımlılık ve anahtar kontrolleri şimdi yapılmalı.
npm tedarik zinciri saldırısı, geliştirici ortamlarını ve kripto altyapılarını doğrudan hedef alıyor. Güvenlik araştırmacıları Aikido Security ve Charlie Eriksen tarafından bildirilen yeni bulgular, ENS paketleri dahil olmak üzere yüzlerce JavaScript kütüphanesinin Shai Hulud adlı kendini çoğaltan kötü amaçlı yazılımla enfekte olduğunu gösteriyor. Cointelegraph’ın raporuna göre, etkilenen projeler arasında hem kripto ekosistemine özgü hem de kurumsal araçlar yer alıyor.
İçindekiler Tablosu
Saldırı nasıl çalışıyor?
Shai Hulud genel amaçlı bir credential-stealing malware olarak tanımlanıyor; hedef ortamda saklı olan anahtarları, tokenları veya diğer sırları tespit edip çalmayı amaçlıyor. Zararlı yazılım, enfekte paketler aracılığıyla bağımlılık zincirine yayılarak otomatik şekilde yeni repolara bulaşıyor. Wiz ve diğer güvenlik firmalarının analizleri, saatte sürekli yeni repoların etkilendiğine işaret ediyor.
Hangi paketler ve riskler öne çıkıyor?
Analizlerde binlerce paket işaretlense de kriptoyla doğrudan ilişkili birçok kütüphaneyi özellikle ENS (Ethereum Name Service) bileşenleri etkiliyor:
- ens content-hash — haftalık on binlerce indirme
- @ensdomains/address-encoder — yüksek indirme sayıları
- ensjs, ethereum-ens, ens-validation, ens-contracts gibi diğer ENS paketleri
- crypto-addr-codec gibi ENS dışı kripto paketleri
Bu paketler geniş bir bağımlılık ağının parçası olduğu için tek bir enfeksiyon çok sayıda proje ve hizmeti dolaylı olarak riske atabiliyor.
Kurumsal paketler ve yayılma
Zapier gibi kurumsal sağlayıcılara ait paketlerin de etkilendiği rapor ediliyor; bazı popüler paketlerin haftalık indirme sayıları on binlerle ifade ediliyor. Bu durum saldırının sadece kriptoyla sınırlı kalmayıp geliştirici araç zincirine yayıldığını gösteriyor.
Ne yapmalı? Öneriler
Saldırının kapsamı geniş olduğundan, geliştiriciler ve operasyon ekipleri acil değerlendirme ve müdahale yapmalı:
- Bağımlılık zincirini tarayın, şüpheli paket versiyonlarını kaldırın veya kilitleyin.
- Gizli anahtar ve tokenları hemen rotasyonla değiştirin; CI/CD sırlarını kontrol edin.
- npm audit, bağımlılık izleyicileri ve SCA araçları ile tarama yapın; güvenlik sağlayıcılarının göstergelerini takip edin.
- Lockfile kullanımı, package integrity kontrolü ve imzalı yayınlar gibi önlemleri güçlendirin.
- Bakımcılarla iletişime geçin ve paketin temiz sürümleriyle değiştirilmesini sağlayın.
Sonuç
Shai Hulud olgusu, modern yazılım tedarik zincirlerinin ne kadar kırılgan olduğunu tekrar hatırlatıyor. Aikido Security, Wiz ve bağımsız araştırmacıların uyarılarını dikkate alarak, projelerinizin bağımlılıklarını ve gizli yönetimini gözden geçirmek en öncelikli adım olmalıdır. Kripto projeleri, ENS gibi kritik bileşenlerin güvenliğini sağlamak için daha katı denetimler uygulamalıdır.