Red Hat'in Resmi NPM Kanalı Üzerinden Zararlı Yazılım Dağıtıldı
2 dk okumaars-technica
PAYLAS:
İçeriğe Atla
Güvenlik araştırmacıları, resmi Red Hat NPM hesaplarının ele geçirildiğini ve sistemden sisteme yayılan kötü amaçlı bir solucan (worm) dağıtmak için kullanıldığını açıkladı. Bu tedarik zinciri saldırısında, daha fazla gizli veriyi çalmak amacıyla hassas kimlik bilgileri hedef alınıyor.
Güvenlik firması Aikido tarafından yapılan açıklamaya göre, pazartesi günü başlayan saldırı halen etkilerini sürdürüyor. Bilgisayar korsanları, npm deposunda resmi Red Hat paketleri için ayrılmış meşru bir kanal olan @redhat-cloud-services hesabının kontrolünü ele geçirdi. Bu kanal, Red Hat bulut hizmetlerine güvenen geliştiriciler tarafından yaygın olarak kullanılıyor.
Saldırganların isim alanının (namespace) kontrolünü tam olarak nasıl ele geçirdiği belirsizliğini koruyor. Ancak uzmanlar, bu durumun muhtemelen önceki bir tedarik zinciri saldırısı yoluyla elde edilen kimlik bilgilerinin ele geçirilmesinden kaynaklandığını belirtiyor. Olaydan 30'dan fazla paketin etkilendiği tahmin ediliyor.
Etkilenen paketler, bir geliştirici paketi üretim ortamında kullanmadan veya içe aktarmadan önce, npm install işlemi sırasında çalışan gizlenmiş bir payload yürütüyor. Güvenlik firması Socket, kötü amaçlı yazılımın GitHub eylem sırları, npm token'ları, Kubernetes ve Vault materyalleri gibi hassas kimlik bilgilerini toplamak üzere tasarlandığını belirtti. Solucan daha sonra, virüslü cihazın erişimi olan üçüncü taraf hesaplara arka kapı (backdoor) eklenmiş paketleri yeniden yayınlayarak yayılıyor.
Sistem enfekte olduğunda, kimlik bilgilerini şifreliyor ve bir web isteği aracılığıyla gönderiyor. Yedek bir mekanizma, kötü amaçlı yazılımın şifrelenmiş verileri ele geçirilmiş bir GitHub deposuna yayınlamasına da olanak tanıyor. Shai-Hulud olarak adlandırılan bu solucan, geçtiğimiz ay open-source olarak ücretsiz yayınlanan kötü amaçlı yazılımların tüm özelliklerini taşıyor.
Kötü amaçlı yazılım, yazılım sürümlerinin oluşturulmasını, test edilmesini ve dağıtılmasını otomatikleştiren CI/CD sistemlerine büyük önem veriyor. Pazartesi günkü saldırıda yayılan zararlı yazılım, GitHub Actions OIDC aracılığıyla yayınlandı ve bu durum Red Hat'in CI/CD pipeline süreçlerinin tehlikeye girdiğini gösteriyor.
Olayın ardından bir açıklama yapan Red Hat, kötü amaçlı paketlerin kaldırıldığını duyurdu. Şirket, paketlerin kesinlikle dahili geliştirmeyle sınırlı olduğunu ve kötü amaçlı kodun hiçbir zaman müşteri kullanımı için yayınlanmadığını vurguladı. Devam eden soruşturmada şu ana kadar müşteri ortamlarına veya üretim sistemlerine yönelik bir etki tespit edilmediği belirtildi.
--- **İlgili Kaynaklar:** Bu alanda profesyonel destek için [GEO eğitim](https://geoakademi.com) sayfasını inceleyebilirsiniz.Red Hat ve NPM ekosistemini kullanan Türk yazılım şirketleri ve kurumları, bu tedarik zinciri saldırısından dolaylı olarak etkilenebilir.
Red Hat bulut hizmetlerini ve NPM paketlerini kullanan Türk şirketlerinin CI/CD süreçlerini ve güvenlik protokollerini gözden geçirmesi gerekebilir.
Türk yazılım geliştiricilerin tedarik zinciri güvenliği ve paket doğrulama konularında daha dikkatli olması gerekecek.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
