npm’de Yeni Siber Tehdit: Shai-Hulud Zararlısının Yeni Varyantları Tespit Edildi
OXsecurity, Node Package Manager (npm) platformunda geliştiricileri hedef alan yeni bir zararlı yazılım kampanyası tespit edildiğini açıkladı. “Shai-Hulud” zararlısının yeni varyantlarının kimlik bilgileri, API anahtarları ve kripto cüzdan verilerini çaldığı belirtildi.
Node Package Manager yani npm platformunda geliştiricileri hedef alan yeni bir zararlı yazılım kampanyası tespit edildi. OXsecurity, geçtiğimiz hafta internete sızdırılan “Shai-Hulud” zararlı yazılımının yeni varyantlarının hafta sonu boyunca npm üzerinde yayıldığını duyurdu.
Araştırmacılar, “deadcode09284814” adlı hesap üzerinden yayımlanan dört kötü amaçlı paketin geliştiricilerin sistemlerinden kimlik bilgileri, yapılandırma dosyaları, kripto cüzdan verileri ve hesap bilgilerini çaldığını açıkladı.
OXsecurity raporunda, saldırganların özellikle Axios kullanıcılarını hedef alan yazım hatalı paket isimleri kullandığı belirtildi. Zararlı paketlerin “chalk-tempalte”, “@deadcode09284814/axios-util”, “axois-utils” ve “color-style-utils” isimleriyle yayımlandığı bildirildi.
“Shai-Hulud” Kodları Doğrudan Kullanıldı
Araştırmacılar, “chalk-tempalte” adlı paketin TeamPCP ile ilişkilendirilen Shai-Hulud zararlı yazılımının neredeyse değiştirilmemiş bir kopyasını içerdiğini ifade etti.
OXsecurity açıklamasında,
“Bu saldırının TeamPCP dışındaki farklı bir aktör tarafından gerçekleştirildiğini gösteren en önemli kanıt, zararlı yazılım kodunun doğrudan sızdırılan kaynak koddan alınmış olması ve herhangi bir gizleme tekniği kullanılmamasıdır.” ifadelerine yer verildi.
Shai-Hulud zararlı yazılımının geliştiricilere ait oturum bilgileri, gizli anahtarlar, kripto cüzdan verileri ve hesap bilgilerini topladığı, ardından bunları saldırganların kontrolündeki komuta kontrol sunucusuna gönderdiği belirtildi.
Araştırmacılar, kodun ayrıca ele geçirilen GitHub yayınlama yetkilerini kullanarak çalınan bilgileri otomatik oluşturulan herkese açık depolara yükleme özelliğini koruduğunu kaydetti.
DDoS Botnet Özelliği Dikkat Çekti
Saldırıda kullanılan “axois-utils” paketinin diğerlerinden ayrıldığı ifade edildi. OXsecurity uzmanları, bu paketin yalnızca bilgi çalmakla kalmadığını, aynı zamanda sistemi kalıcı bir DDoS botuna dönüştürdüğünü açıkladı.
Raporda, paketin HTTP, TCP ve UDP flood saldırılarının yanı sıra TCP reset saldırılarını da desteklediği belirtildi. Kod içerisinde “phantom bot” isimli bir botnet altyapısına ilişkin referanslar bulunduğu aktarıldı.
Geliştiricilere Acil Uyarı Yapıldı
Shai-Hulud kampanyasının ilk olarak Eylül 2025’te ortaya çıktığı ve meşru projelere zararlı kod enjekte edilerek geliştiricilerin bilgilerinin çalındığı hatırlatıldı. Daha önceki saldırıların da TeamPCP ile ilişkilendirildiği kaydedildi.
OXsecurity, saldırganların sızdırılan kaynak kodları hızla kopyalayarak yeni varyantlar geliştirmeye başladığını belirtti. Güvenlik uzmanları, zararlı npm paketlerini indiren geliştiricilerin bu paketleri derhal kaldırmaları ve etkilenen sistemlerdeki tüm kimlik bilgileri ile API anahtarlarını değiştirmeleri gerektiği uyarısında bulundu.
Araştırmacılar, dört zararlı paketin toplamda 2 bin 678 kez indirildiğini açıkladı.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğen
0
Beğenmiyorum
0
Aşk
0
Komik
0
Öfkeli
0
Üzgün
0
Vay
0
