Red Hat NPM Paketlerinde Kritik Güvenlik İhlali Ortaya Çıktı

Red Hat bünyesindeki onlarca npm paketinin kötü amaçlı kodlarla değiştirildiği ortaya çıktı. Saldırı sonucunda geliştirici hesaplarını, bulut servis kimlik bilgilerini, SSH anahtarlarını ve çeşitli erişim belirteçlerini hedef alan yeni bir zararlı yazılım varyantı dağıtıldı. Güvenlik araştırmacıları, olayın tedarik zinciri saldırısı kapsamında gerçekleştiğini belirlerken Red Hat etkilenen paketleri kayıt sisteminden kaldırdı. Şirket tarafından yapılan ilk incelemeler müşteri sistemlerine yönelik doğrudan bir etki tespit etmedi.

GitHub Hesabının Ele Geçirilmesi Saldırının Kapısını Açtı

Aikido tarafından paylaşılan bulgulara göre saldırganlar bir Red Hat çalışanına ait GitHub hesabını ele geçirerek çeşitli depolara doğrudan zararlı kod ekledi. Saldırganlar daha sonra GitHub Actions iş akışlarını değiştirerek npm yayınlama sürecini kötüye kullandı. Araştırmacılar, bu yöntemle arka kapı yerleştirilmiş paket sürümlerinin resmi kanallar üzerinden dağıtıma çıkarıldığını aktardı. Güvenlik ekipleri, etkilenen paketlerin haftalık yaklaşık 117 bin indirme sayısına ulaştığını belirledi. Araştırmacılar, saldırının yalnızca birkaç paketi değil toplam 32 farklı paketi ve 96 sürümü kapsadığını tespit etti. Çok sayıda istemci kütüphanesinin saldırıdan etkilenmiş olması olayın boyutunu daha da büyüttü.

Kötü amaçlı paketler yüklendiğinde otomatik olarak çalışan gizlenmiş bir JavaScript dosyası devreye giriyordu. Saldırganlar, yaklaşık 4,2 MB büyüklüğündeki zararlı yük içerisinde çok katmanlı gizleme teknikleri kullanarak tespiti zorlaştırdı. Araştırmacılar, zararlı yazılımın GitHub Actions sırları, AWS kimlik bilgileri, Google Cloud erişim anahtarları, Azure servis hesapları, HashiCorp Vault belirteçleri, Kubernetes servis hesapları, npm ve PyPI yayınlama anahtarları, Docker kimlik bilgileri, SSH anahtarları, GPG anahtarları ile .env dosyalarını hedeflediğini açıkladı. Güvenlik uzmanları, etkilenen sürümlerin kurulu olduğu sistemlerde kullanılan tüm erişim bilgilerinin yenilenmesini önerdi.

OX Security tarafından yürütülen analizler, kullanılan zararlı yazılımın daha önce görülen Mini Shai-Hulud altyapısıyla önemli benzerlikler taşıdığını gösterdi. Araştırmacılar, yeni varyantın kaynak kodlarında “Miasma: The Spreading Blight” ifadesinin yer aldığını belirledi. Güvenlik ekipleri, yeni sürümün yalnızca kimlik bilgisi çalma işleviyle sınırlı kalmadığını, ek gizleme katmanları, çok aşamalı yükleme mekanizmaları ve daha gelişmiş veri toplama teknikleri içerdiğini aktardı. Uzmanlar, şu ana kadar en az 309 GitHub deposunun Miasma kampanyasından etkilendiğini bildiriyor.

Siber güvenlik araştırmacıları son aylarda açık kaynak ekosistemini hedef alan yazılım tedarik zinciri saldırılarında belirgin bir artış yaşandığını vurguluyor. Daha önce Bitwarden, SAP, Mistral, TanStack, OpenAI ve GitHub ile ilişkilendirilen projelerde de benzer tehditlerin görüldüğü belirtiliyor.

Mayıs ayında Mini Shai-Hulud zararlı yazılım çerçevesinin kaynak kodunun internete sızdırılması, farklı tehdit aktörlerinin aynı altyapıyı geliştirmesinin önünü açtı. Uzmanlar, Red Hat olayının doğrudan aynı grup tarafından mı yoksa sızdırılan kodları kullanan başka saldırganlar tarafından mı gerçekleştirildiğinin henüz netleşmediğini ifade ediyor.