NPM Tedarik Zinciri Saldırısı Shai-Hulud

15–16 Eylül 2025’te yazılım dünyasını sarsan büyük çaplı bir npm tedarik zinciri saldırısı ortaya çıktı. “Shai-Hulud” adı verilen saldırı, yalnızca popüler açık kaynak paketleri değil, güvenlik firmalarına ait resmi paketleri de hedef aldı.

Otomatik Yayılan Zararlı Kod

Siber güvenlik uzmanlarının “Shai-Hulud” adını verdiği saldırı, Frank Herbert’in Dune romanındaki dev kum solucanlarına gönderme yapıyor. Saldırı, kendi kendini yayabilen bir “worm” (solucan) mantığıyla çalışıyor.

Kurulum aşamasında devreye giren zararlı kod, TruffleHog aracını kullanarak geliştirici makinelerinde, CI/CD ortamlarında ve sunucularda gizli anahtar, token ve kimlik bilgilerini tarıyor. Geçerli olan bilgilerle saldırganlar, hedef sistemlere yetkisiz GitHub Actions iş akışları enjekte ederek verileri kendi kontrol ettikleri adreslere aktarıyor.

Bu yöntemle ele geçirilen paketler üzerinden saldırı hızla başka paketlere de yayılıyor. Uzmanlar şu ana kadar 187 ile 500’den fazla kötü amaçlı paket tespit edildiğini bildiriyor.

CrowdStrike Paketleri de Hedef Oldu

Saldırganlar, CrowdStrike’ın resmi npm hesabına sızarak bazı popüler paketleri trojanize etti. Etkilenen paketler arasında şunlar yer aldı:

CrowdStrike, saldırının fark edilmesinin ardından paketleri npm’den kaldırdığını ve yeni kayıt anahtarları oluşturduğunu duyurdu. Şirket ayrıca Falcon sensörlerinin etkilenmediğini ve müşterilerin güvende olduğunu açıkladı.

Yazılım Ekosistemine Etkileri

Bu olay, açık kaynak dünyasında tedarik zinciri güvenliğinin kırılganlığını bir kez daha gözler önüne serdi.

  • Geliştirici makineleri, CI/CD sistemleri ve bulut ortamları, tokenlar ve kimlik bilgileri nedeniyle saldırganların öncelikli hedefi haline geldi.
  • Zararlı kodun worm benzeri yayılması, tek nokta başarısızlık riskini tüm ekosisteme taşıdı.
  • Zararlı paketler kaldırılsa dahi, önceden indirilen sürümler ve sızdırılmış kimlik bilgileri tehdit oluşturmaya devam edebilir.

Uzmanlardan Güvenlik Önerileri

Uzmanlar benzer saldırılara karşı şu önlemleri öneriyor:

  • Projelerdeki bağımlılık dosyaları (package.json, lock) taranmalı.
  • node_modules klasörü silinmeli, npm önbelleği temizlenmeli.
  • Etkilenen sürümler kaldırılmalı, temiz sürümlerle değiştirilmelidir.
  • Tüm GitHub tokenları, SSH anahtarları ve bulut kimlik bilgileri iptal edilip yenilenmeli.
  • GitHub Audit Log kayıtları düzenli olarak kontrol edilmeli.
  • Yazılım dağıtım süreçlerinde imza kontrolleri, SBOM karşılaştırmaları ve güvenli kayıt defterleri kullanılmalı.
  • Geliştiriciler sosyal mühendislik ve phishing saldırılarına karşı eğitilmelidir.

Sonuç

CrowdStrike’ın da hedef alınması, saldırıların yalnızca güvenlik firmalarıyla sınırlı kalmayacağını gösteriyor. Uzmanlara göre yazılım ekosisteminde güven, sadece kodun güvenliğine değil; dağıtım altyapısına, kimlik yönetimine ve otomasyon süreçlerine dayanmalı.

Bu olay, yazılım dünyasında tedarik zinciri güvenliği stratejilerinin artık en kritik öncelik haline gelmesi gerektiğini ortaya koyuyor.

Related Posts

İran Bağlantılı Tehdit Aktörlerinden Yeni Operasyon: Cavern Zararlı Yazılımı İsrail’i Hedef Alıyor

İran İstihbaratına bağlı çalışan bir hack grubu (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji firmalarını hedef almak için “Cavern” adında yepyeni ve çok gelişmiş bir siber silah kullanmaya başladı. Saldırı…

15 Yıldır Fark Edilmeyen Linux Açığı Ortaya Çıktı: GhostLock Root Yetkisi Kazandırabiliyor

Siber güvenlik araştırmacıları, yaklaşık 15 yıldır Linux çekirdeğinde bulunan kritik bir güvenlik açığını ortaya çıkardı. CVE-2026-43499 olarak takip edilen ve GhostLock adı verilen açık, yerel erişime sahip saldırganların sistemde root…

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir