Kaspersky Tehdit Araştırması, Shai-Hulud solucanının ilk enfekte ettiği paketi analiz ederek, kendi kendini kopyalayan bu kötü amaçlı yazılımın npm ekosistemine yönelik yaygın tedarik zinciri saldırısını nasıl başlattığına dair bilgileri paylaştı. Kaspersky’nin araştırmasına göre, Shai-Hulud solucanı toplam 530 paket sürümünden 190 benzersiz paketi enfekte etti. Bu da saldırı sırasında birçok paketin birden fazla güvenliği ihlal edilmiş sürümünün yayınlandığını gösteriyor.
15 Eylül 2025’te ilk kez ortaya çıkan, kendi kendini kopyalayan kötü amaçlı bir yazılım olan Shai-Hulud solucanı, kimlik doğrulama jetonlarını çalarak ve meşru paketlerin virüslü sürümlerini yayınlayarak geliştirici hesapları aracılığıyla otomatik olarak yayılıyor. Saldırının etkisi geniş çapta belgelenmiş olsa da, Kaspersky’nin analizi, ilk enfeksiyon mekanizması ve solucanın sofistike yayılma yöntemleri hakkında teknik ayrıntıları ortaya koydu.
Kaspersky Tehdit Araştırması Kötü Amaçlı Yazılım Analisti Vladimir Gurskiy, konuya ilişkin şunları söyledi:
“Analizimiz, bu tedarik zinciri saldırısının nasıl işlediğine ve depo maruziyetinin gerçek kapsamına ilişkin önemli bilgiler sağlıyor. Solucanın özel depoları kuruluşlardan bireysel hesaplara sistematik olarak taşıma eylemi, tedarik zinciri tehditlerinde önemli bir artışa işaret ediyor ve yıllarca süren özel geliştirme çalışmalarını tehlikeye atma potansiyeli taşıyor. Bu araştırma, Kaspersky Açık Kaynak Yazılım Tehditleri Veri Akışını neden sürdürdüğümüzü bir kez daha ortaya koyuyor. Çünkü kuruluşlar, geliştirme süreçlerini bu tür sofistike saldırılardan korumak için, güvenliği ihlal edilmiş paketler hakkında gerçek zamanlı istihbarata ihtiyaç duyuyor.”
Kaspersky’nin araştırması, ngx-bootstrap sürüm 18.1.4’ün başlangıç noktası olarak hizmet ettiğini doğruladı ve bu sonucun elde edilmesinde kullanılan teknik metodolojiyi açıkladı. Araştırmacılar, bu sırada önemli bir ayırt edici özellik tespit etti: Bu sürümden sonraki tüm enfekte paketler kurulum sonrası komut dosyaları aracılığıyla kötü amaçlı kodları çalıştırırken, başlangıç noktası paketi benzersiz bir şekilde kurulum öncesi komutunu kullandı. Bu da onun otomatik yayılmanın kurbanı değil, başlangıç noktası olduğunu ortaya çıkardı.
Bu solucan, GitHub’daki özel kurumsal depoları tehlikeye atmak için özel olarak tasarlanmış işlevler içeriyor. Kimlik doğrulama jetonlarını çalmanın ötesinde, özel ve dahili depoları da GitHub kuruluşlarından kullanıcı hesaplarına otomatik olarak taşıyor. Böylece gizli kurumsal kodları etkili bir şekilde kamuya açık hale getiriyor ve tüm özel kod tabanlarını ifşa ediyor.
Kaspersky çözümleri, bu kötü amaçlı yazılımı HEUR:Worm.Script.Shulud.gen olarak tanımlıyor. Kuruluşlar, GitHub depolarında “shai-hulud” dallarını veya shai-hulud-workflow.yml dosyalarının varlığını arayarak enfeksiyon olup olmadığını kontrol edebilirler.
Kaspersky, daha önce açık kaynak ekosistemlerini hedef alan tedarik zinciri saldırılarının artan eğilimi konusunda uyarıda bulunmuştu. Şirketin güvenlik araştırmacıları, kötü amaçlı modül oluşturmanın tehdit aktörleri arasında giderek daha popüler hale gelen bir saldırı vektörü olduğunu belirledi.
• Bağımlılıklarınızı proaktif olarak izleyin. Kaspersky Açık Kaynak Yazılım Tehditleri Veri Akışı bunu gerçekleştirmenize yardımcı olur. Bu veri akışı, açık kaynak platformlarını hedef alan kötü amaçlı faaliyetler hakkında gerçek zamanlı istihbarat sağlayarak kuruluşların tedarik zinciri saldırılarına karşı proaktif olarak savunma yapmasına yardımcı olmak için tasarlanmıştır.
• Kaspersky Premium gibi güçlü siber güvenlik çözümleriyle kişisel cihazlarınızı koruyun. Bu çözüm, cihazlarınızda depolanan kimlik doğrulama jetonlarını ve kimlik bilgilerini hedef alan tedarik zinciri kötü amaçlı yazılım bulaşmalarını önlemek ve etkisiz hale getirmek için çok katmanlı koruma sağlar.
• Güvenli Linux geliştirme ortamları kurgulayın. Kaspersky for Linux, npm paketlerinin yüklendiği ve çalıştırıldığı derleme sunucularını ve CI/CD ardışık düzenlerini koruyarak, kendi kendine yayılan solucanların tüm geliştirme altyapınızı tehlikeye atmasını önler.
• Kaspersky Next ürün serisi gibi kurumsal bir siber güvenlik çözümü kullanarak, her büyüklükteki ve sektördeki kuruluşlarda çeşitli siber güvenlik tehditlerine karşı savunma sağlayın ve gelişmiş tehdit görünürlüğü ve araştırma yeteneklerinin yanı sıra kapsamlı gerçek zamanlı koruma sunun.
Kaynak : 