Uzun süren sessizliğin ardından, npm kayıt sistemi yönetimi, tedarik zincirini hedef alan geniş kapsamlı bir saldırı sonrası acil önlemler aldı. Özellikle yazma izni bulunan detaylı erişim anahtarlarının iptal edilmesiyle, saldırganların iki faktörlü kimlik doğrulamasını atlatmasının önüne geçilmesi hedeflendi. Bu hamle, Web3 geliştiricilerini etkileyen ve ardı ardına yayılan “Mini Shai-Hulud” adı verilen zararlı yazılımın beşinci dalgasını durdurmak adına atıldı.
npm’den acil eylem çağrısı
Platform, güvenlik krizinin büyümesine bağlı olarak kullanıcılara acil bir bildirim yayınladı. Geliştiricilerden, mevcut tüm gizli anahtarlarını (secret) derhal değiştirmeleri ve daha güvenli olarak kabul edilen Trusted Publishing yöntemine geçmeleri istendi. Bu önlemler, özellikle zararlı yazılım bulaşan projelerin hızlı bir şekilde temizlenebilmesi için devreye alındı.
Güvenlik uzmanlarından sert eleştiriler
npm’nin uyguladığı tedbirler, siber güvenlik topluluğu tarafından yeterli görülmedi. Birçok araştırmacı, şirketin yalnızca yüzeydeki belirtileri bastırmaya çalıştığını, ancak temel problemi göz ardı ettiğini düşünüyor. MetaMask’ın güvenlik araştırmacısı Taylor Monahan, platformun gecikmeli yanıtının yaşanan altyapı krizinin resmi olarak kabulü olduğunu ifade etti. Bir diğer güvenlik araştırmacısı Moshe Siman Tov Bustan ise, sadece erişim engellenerek zararlı yazılımın yayılmasının önlenemeyeceğini, etkili çözüm için teknik analiz yapılması gerektiğini vurguladı.
Güvenlik araştırmacılarına göre, erişim anahtarlarının iptali yeni zararlı yazılım sürümlerini engellese de; IDE’lerine “Mini Shai-Hulud” bulaşan geliştiricileri korumakta tamamen yetersiz kalıyor. Zararlı kod, sistemde derine yerleştiği için npm tarafında erişim engellense bile gizli veri hırsızlığını sessizce sürdürüyor.
Mini sözlük: npm, JavaScript projelerinde yaygın olarak kullanılan açık kaynak paketlerin merkezi bir arşividir. Geliştiriciler, bu depodaki paketleri kolayca projelerine entegre edebilir. Supply-chain saldırısı, yazılımların bağımlı olduğu üçüncü parti kod veya hizmetler üzerinden sistemlerin hedef alınması anlamına gelir ve genellikle geniş çaplı etki yaratır.
“Mini Shai-Hulud” zararlısı ve etkileri
Yeni dalga, zararlı kodun geliştiricilerin günlük alışkanlıklarına uyum göstermesiyle dikkat çekiyor. Zararlı yazılım, sisteme girdikten sonra sadece veri çalmakla yetinmiyor; kendisini doğrudan yapay zeka yardımcılarının ve IDE araçlarının yapılandırmasına gizliyor. Böylece bulaştığı sistemde, geliştirici her yapay zeka aracını çalıştırdığında arka planda görünmez şekilde etkinleşiyor.
Zararlı kod temizlenmiş ya da ilgili dosyalar silinmiş olsa bile, yapay zeka asistanı yeniden çalıştırıldığında enfeksiyon yeniden başlıyor. Bununla birlikte, değerli tüm bilgiler — AWS üzerinde kullanılan bulut şifreleri, kripto cüzdanlarının özel anahtarları gibi — şifrelenerek GitHub’un resmi API’si üzerinden dışarıya aktarılıyor. Güvenlik sistemleri için bu trafik, sıradan bir geliştiricinin yaptığı kod yüklemelerinden ayırt edilemiyor.
Saldırının boyutu ve yayıldığı alanlar
Son saldırı dalgası, “atool” adlı yasal npm hesabının ele geçirilmesiyle zirve noktasına ulaştı. Yalnızca 27 dakika içinde otomatikleştirilmiş bir yazılım tarafından 323 farklı pakette toplam 637 zararlı sürüm yayımlandı. Bu paketlerin haftalık indirme sayısı ise yaklaşık 16 milyona ulaştı.
| Paket Adı | Zararlı Sürüm Sayısı | Yaklaşık Haftalık İndirme |
|---|---|---|
| atool | 637 | 16.000.000 |
Saldırganların bu yüksek erişimi, hem bağımlılıklara dayalı sistemlerdeki zafiyeti hem de tedarik zinciri güvenliğinin kritik önemini bir kez daha gözler önüne serdi. Uzmanlar, kullanıcıların daha modern ve güvenli erişim yöntemlerine yönelmesinin gerekliliğini hatırlatıyor.
