Beating İzleme'ye göre, «Mini Shai-Hulud» (Dune'deki kurt) adlı bir veri çalma wormu, ön uç ve AI arka uç ekosistemlerini dolaşıyor. Saldırgan TeamPCP, 12 Mayıs'ta 03:20 ile 03:26 (UTC+8) arasında TanStack'in resmi yayın hattını ele geçirerek npm üzerinden `@tanstack/react-router` gibi haftalık milyonlarca indirime sahip 42 resmi paketin 84 kötü amaçlı sürümünü yayınladı. Daha sonra worm, PyPI'ye de yayıldı ve en son kurban listesine Amazon'un `@opensearch-project/opensearch` (npm, haftalık 1.3 milyon indirme), Mistral'in resmi istemcisi `mistralai` ve AI güvenlik aracı `guardrails-ai` (her ikisi de PyPI) dahil oldu. Kötü amaçlı paketler, resmi sürümlerle tamamen aynı görünüyor. Saldırganlar, uzun süreli kimlik bilgilerini çalmadı; bunun yerine GitHub Actions yapılandırmasındaki bir açıklığı kullanarak resmi yayın hattını ele geçirerek legítim geçici yayın izinlerini elde etti. Bu nedenle kötü amaçlı paketler, gerçek SLSA inşaat köken imzasını (provenance — bir paketin gerçekten resmi yayın hattından çıktığını kanıtlayan bir sahtekarlık önleyici etiket) aldı. Geliştiricilerin önceden güven verdiği “imzalı = güvenli” mantığı tamamen geçersiz hale geldi. Daha da kritik olan, kötü paketi kaldırmak yeterli değil. Socket.dev'in tersine mühendislik analizine göre, worm kurulduktan sonra arka planda kendisini Claude Code'un yürütme kancasına (`.claude/settings.json`) ve VS Code'un görev yapılandırmasına (`.vscode/tasks.json`) yazıyor. Kötü paket silinmiş olsa bile, geliştirici daha sonra projeyi açarsa veya AI asistanını uyandırırsa kötü kod otomatik olarak yeniden canlanıyor. Python tarafında tetiklenme eşiği daha düşük: Geliştirici hiçbir fonksiyonu çağırmadan sadece bulaşmış paketi `import` ederse, veri çalma işlemi sessizce etkinleşiyor. TeamPCP, dağıttığı sahte etki alanındaki `git-tanstack[.]com` üzerinde açıkça şunları yazdı: “İki saatten fazla süredir kimlik bilgilerini çalıyoruz, ama sadece selam vermek için geldim :^)”. Worm hâlâ yayılmaya devam ediyor. Yukarıdaki pencere süresi içinde etkilenen paketleri yükleyen makineler, ihlal edilmiş olarak kabul edilmelidir: AWS, GitHub, npm, SSH ve diğer tüm kimlik bilgilerini hemen değiştirin, `.claude/` ve `.vscode/` dizinlerini tamamen inceleyin ve temiz bir lockfile'den yeniden yüklemeyi yapın.
MiniShai-Hulud Solucanı, TanStack, OpenSearch ve Mistral İstemcilerini Bulaştırıyor
MarsBitPaylaş
Özet
MiniShai-Hulud kurtu ile ilgili bir güvenlik ihlali, TanStack, OpenSearch ve Mistral müşterilerini etkiledi. Saldırganlar, GitHub Actions zafiyetlerini kullanarak 12 Mayıs'ta 03:20 ile 03:26 UTC+8 arasında 84 zararlı paket sürümü yaydı. Kurt, geçerli SLSA imzalarını kullanıyor ve VS Code ile Claude Code gibi araçlarda kalıcı kalıyor. Geliştiricilere kimlik bilgilerini değiştirmeleri ve proje dizinlerini taramaları öneriliyor. Bu kripto haberi, açık kaynak ekosistemindeki devam eden tehditleri vurgulamaktadır.
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir.
Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.