Ana Sayfa
Haberler
Detaylar

Shai-Hulud Virüsü, NPM/PyPI Paketlerini Bulaştırıyor ve Kripto Cüzdanlarını Tehdit Ediyor

iconChainGPT
Paylaş
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconÖzet

expand icon
Shai-Hulud kötü amaçlı yazılımı, 320'den fazla NPM ve PyPI paketini bulaştırdı ve 518 milyondan fazla aylık indirme etkilendi. Tehdit, kripto cüzdanlarını ve bulut kimlik bilgilerini hedefliyor; son zamanlarda Mistral AI ve OpenAI'de veri sızıntıları yaşandı. Araştırmacılar, bu kötü amaçlı yazılımı daha önce 4.000 GitHub deposunu çalan TeamPCP ile bağlantılı olarak görüyor. Zincir üzerindeki haberler, bağımlılık kontrollerinin ve imzalı sürümlerin daha sıkı kontrol edilmesi gerekliliğini vurguluyor. Yapay zeka + kripto haberleri, açık kaynak ekosistemlerindeki artan riskleri gösteriyor. Uzmanlar, daha fazla yayılımı önlemek için izole edilmiş build ortamları kullanımını öneriyor.

Shai-Hulud: Geliştirici akışlarına ve kripto cüzdanlarına doğru yayılan tedarik zinciri kötü amaçlı yazılımı “Shai-Hulud” olarak adlandırılan gizli bir kötü amaçlı yazılım kampanyası, geliştiricilerin yazılım oluşturmak ve dağıtmak için bağımlı olduğu otomatik araç zincirlerini istismar ediyor ve etkisi endişe verici düzeyde. Araştırmacılar, Node Package Manager (NPM) ve PyPI depolarında yaklaşık 320 zararlı paket giriğini bu kampanyaya bağladı—bu paketler birlikte 518 milyondan fazla aylık indirme sayısına sahip. Kripto projeleri ve bu ekosistemlere bağımlı herhangi bir ekip için bu durumun sonuçları açık: Geliştirici araçlarına erişim, hemen bulut kimlik bilgileri ve kripto cüzdanlarının çalınmasına dönüşebilir. Enfeksiyonun nasıl yayıldığı Shai-Hulud, son kullanıcıları doğrudan hedef almaz. Bunun yerine, güvenilir paketleri ve inşa süreçlerini ele geçirerek, kötü amaçlı yazılımın normal geliştirme ve sürüm süreçleri sırasında otomatik olarak alt projelere dahil olmasına izin verir. Zararlı kod genellikle meşru paket kayıt defterlerinden gelir, geçerli imzalara sahiptir ve rutin kontrolleri geçer; bu nedenle tespit edilmesi zordur ve hasar gerçekleşene kadar fark edilmez. Neden bu önemli? “Modern yazılım, başkalarının kodunu çalıştırarak oluşturulur,” Contrast Security’in CTO’su Jeff Williams, Decrypt’e söyledi. “Geliştiriciler sadece ‘kütüphaneleri indirmez’. Onları kurar, bunlarla oluşturur, test eder, dağıtır ve nihayetinde çalıştırır. Ve eğer zararlı bir kütüphane çalıştırırsanız, yapabileceğiniz neredeyse her şeyi yapabilir.” Yapay zekânın ilerlemesinin sorunu daha da kötüleştirdiğini uyarıyor ve bu etkiyi “bir bilgisayarı çift ajan haline getirmek” gibi tanımlıyor. Gerçek olaylar ve sonuçlar - Mayısın başlarında Microsoft Tehdit İstihbaratı, PyPI’de bir Mistral AI paketine zararlı kod eklendiğini açıkladı. Kötü amaçlı yazılım ayrıca ML ortamlarında kaybolabilmek için Hugging Face’in Transformers kütüphanesine benzeyen bir dosya indirdi. Mistral daha sonra etkilenen bir geliştirici cihazının dahil olduğunu açıkladı ancak kendi altyapısının ele geçirildiğine dair hiçbir kanıt olmadığını belirtti. - İki gün sonra OpenAI, iki çalışan cihazının Shai-Hulud ile bağlantılı bir kötü amaçlı yazılım tarafından enfekte edildiğini doğruladı; bu durum saldırganlara sınırlı sayıda dahili kod deposuna geçici erişim sağladı. Şirket, müşteri verilerinin, üretim sistemlerinin veya mülkiyet haklarının ele geçirilmediğini bildirdi. - Kampanya, 11 Mayıs’ta birçok web ve bulut uygulamasını güçlendiren yaygın olarak kullanılan açık kaynak JavaScript çerçevesi TanStack’e yapılan bir saldırı sonrası daha geniş ilgi çekti. Kapsam ve aktörler Araştırmacılar, Shai-Hulud’un daha önceki varyantlarını Eylül 2025’e kadar izledi ve bunları TeamPCP takma adıyla çalışan siber suçlularla ilişkilendirdi. Bu suç grubu daha sonra yaklaşık 4.000 özel GitHub deposunu çaldığını iddia etti ve verileri satmak için teklif verdi—GitHub, dahili depolara yetkisiz erişim konusunda soruşturma yaptığını belirtti. Aynı zamanda güvenlik firması OX Security, bulut ve kripto cüzdan kimlik bilgilerini, SSH anahtarlarını ve ortam değişkenlerini çalan taklit paketlerin zaten dolaşmakta olduğunu bildirdi; bazı varyantlar ayrıca enfekte edilen makineleri DDoS bot ağına katmaya çalışıyor. Teknik notlar ve atıf ipuçları OX Security, bazı yeni örneklerin şifrelenmemiş şekilde sızdırılmış Shai-Hulud kaynak koduna neredeyse tamamen benzer olduğunu belirtti; bu da farklı aktörlerin yeni varyantlar geliştirmek yerine kodu yeniden paketlediğini gösteriyor. Bu tür yeniden kullanım yayılımı hızlandırır: Küçük veya az bilinen bir paketin ele geçirilmesi, saldırganlara ona güvenen her alt projeye erişim sağlar; bu da token çalma, zararlı yayın yapma ve tekrarlayan zehirleme döngüleri sağlar. Kripto projelerinin neden dikkat etmesi gerekiyor Blok zinciri ve kripto ekipleri için saldırı yüzeyi, geliştirici makinelerini, CI/CD’yi, paket kayıt defterlerini ve otomatik yayınlama sistemlerini içerir—bu alanlar saldırganlar tarafından giderek daha çok hedefleniyor çünkü yüksek kazanç potansiyeli sunar. Cüzdan kimlik bilgileri, ortam değişkenleri veya bulut API anahtarları, ele geçirilmiş bir bağımlılık veya inşa önbelleği aracılığıyla açığa çıktığında, saldırganlar geliştirici ortamlarından üretim sistemlerine ve finansal varlıklara geçebilir. Pratik savunma yöntemleri Uzmanlar, yazılım tedarik zincirinin artık basit bir zincir değil, bir yayılma ağı olduğunu vurguluyor ve savunmalar bunu yansıtmalıdır. Önerilen önlemler şunlardır: - Bağımlılık kontrollerini sıkılaştırmak ve kesin sürüm sabitleme. - Daha güçlü yayın korumaları ve imzalı, doğrulanmış sürümler. - CI/CD için en az yetkiye sahip kimlik bilgileri ve düzenli olarak döndürülen tokenlar. - İzole edilmiş inşa ortamları ve değişmez inşa önbellekleri. - Bağımlılık manipülasyonu için otomatik tarama ve zararlı paketleri erken yakalamak için tehdit istihbaratı feed’leri. “Shai-Hulud, saldırı yüzeyinin geleneksel uygulama katmanlarının ötesine uzandığını ve modern geliştirme ve dağıtım iş akışlarını güçlendiren açık kaynak paketlere kadar uzandığını hatırlatıyor,” SecurityBridge’in Güvenlik Araştırması Direktörü Joris Van De Vis, Decrypt’e söyledi. Kripto geliştiricileri için, bu demektir ki akıllı sözleşmeleri ve cüzdanları korumak kadar geliştirici akışını korumak da önemlidir—çünkü zehirlenmiş bir inşa, kayıp fonlara ulaşmanın en hızlı yolu olabilir. Sonuç: Saldırganlar güvenilir altyapıyı silah haline getiriyor. Kamu paketlerine, otomatik CI/CD’ye ve paylaşılan inşa önbelleklere dayanan projeler, kodu ve kripto varlıkları güvenli tutmak için daha sıkı kontroller ve hızlı tespit sistemleri benimsemelidir.

Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir. Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.