SlowMist, Shai-Hulud 3.0 Tedarik Zinciri Saldırısının Geri Döndüğü Uyarısında Bulundu

Siber güvenlik şirketi SlowMist yeni bir uyarı yayımladı. Shai-Hulud tedarik zinciri saldırısının, artık 3.0 sürümü olarak adlandırılan yeni bir varyantla geri döndüğünün tespit edildiğini açıkladı. Uyarı, SlowMist’in Bilgi Güvenliği Direktörü (CISO) 23pds’ten geldi. 23pds, Web3 ekipleri ve platformlarını savunmalarını derhal güçlendirmeye çağırdı. Uyarıya göre son varyant, modern yazılım geliştirmede yaygın olarak kullanılan bir paket yöneticisi olan NPM ekosistemini hedef alıyor.

Bu tür tedarik zinciri saldırıları, zararlı kodun güvenilir açık kaynak kütüphaneleri üzerinden yayılmasına olanak tanıyor. Çoğu zaman geliştiriciler bunun farkına bile varmıyor. Bu nedenle küçük çaplı bulaşmalar bile kısa sürede birden fazla projeye ölçeklenebiliyor. SlowMist, Trust Wallet ile bağlantılı geçmiş bir API anahtarı sızıntısı da dahil olmak üzere önceki olaylara dikkat çekti. Söz konusu sızıntının, Shai-Hulud’un daha eski bir sürümünden kaynaklanmış olabileceği belirtiliyor. Zararlı yazılımın yeniden ortaya çıkması, saldırganların kendini kanıtlamış teknikleri geliştirip yeniden devreye soktuğuna dair endişeleri artırıyor.

Shai-Hulud 3.0’ı Farklı Kılan Ne

Güvenlik araştırmacıları, Shai-Hulud 3.0’ın önceki sürümlere kıyasla belirgin teknik değişiklikler içerdiğini söylüyor. Bağımsız araştırmacıların analizlerine göre zararlı yazılım artık farklı dosya adları kullanıyor. Yük (payload) yapıları da değiştirilmiş durumda ve işletim sistemleri arasında uyumluluk artırılmış. Yeni varyantın, önceki sürümlerde bulunan bir “dead man switch”i kaldırdığı bildiriliyor. Bu özellik, belirli koşullar altında zararlı yazılımı devre dışı bırakabiliyordu. Bu kaldırma bazı riskleri azaltırken, aynı zamanda saldırganların tespitten kaçınmak için çalıştırma sürecini sadeleştirdiğine işaret ediyor.

Araştırmacılar ayrıca zararlı yazılımın, orijinal kaynak koddan doğrudan kopyalanmak yerine obfuscation uygulanmış gibi göründüğünü tespit etti. Bu detay, önceki saldırı materyallerine erişim olduğunu düşündürüyor ve daha sofistike bir tehdit aktörüne işaret ediyor. İlk bulgular, şu ana kadar yayılımın sınırlı kaldığını gösteriyor. Bu da saldırganların hâlen yükü test ediyor olabileceğine işaret ediyor.

Araştırmacılar Aktif NPM Paketlerini İnceliyor

Bağımsız güvenlik araştırmacısı Charlie Eriksen, ekibinin yeni varyantı aktif olarak incelediğini doğruladı. Kamuya açık açıklamalara göre zararlı yazılım, belirli bir NPM paketinin içinde tespit edildi. Bu durum, ilişkili bağımlılıkların daha kapsamlı şekilde gözden geçirilmesini tetikledi. İncelemeler, zararlı yazılımın ortam değişkenlerini, bulut kimlik bilgilerini ve gizli dosyaları çıkarmaya çalıştığını gösteriyor. Ardından bu veriler, saldırganların kontrolündeki depolara yükleniyor. Bu teknikler, önceki Shai-Hulud saldırılarıyla uyumlu olsa da daha rafine bir sıralama ve hata yönetimi sergiliyor. Şu an için geniş çaplı bir ihlale dair kanıt bulunmuyor. Ancak araştırmacılar, tedarik zinciri saldırılarının genellikle istikrar sağlandıktan sonra hızla genişlediği uyarısında bulunuyor.

Sektöre Bağımlılık Güvenliğini Sıkılaştırma Çağrısı

SlowMist, proje ekiplerine bağımlılıkları denetlemelerini, paket sürümlerini kilitlemelerini ve olağan dışı ağ davranışlarını izlemelerini tavsiye etti. Geliştiricilere ayrıca derleme süreçlerini gözden geçirmeleri ve hassas kimlik bilgilerine erişimi sınırlandırmaları çağrısı yapıldı. Şirket, Web3 ve açık kaynak yazılımlarda tedarik zinciri tehditlerinin hâlâ en çok hafife alınan risklerden biri olduğunu vurguladı. En iyi şekilde güvenliği sağlanmış platformlar bile üçüncü taraf kütüphaneler üzerinden açık hale gelebiliyor. Soruşturmalar sürerken güvenlik uzmanları panik yerine temkinli olunmasını öneriyor. Ancak Shai-Hulud 3.0’ın, yazılım tedarik zincirlerinin hâlâ yüksek değerli hedefler olduğunu açık biçimde hatırlattığı konusunda hemfikirler.