İSTANBUL (AA) - Kaspersky, 'Shai-Hulud' isimli kötü amaçlı yazılımın kullanıldığı tedarik zinciri saldırı kampanyasına ilişkin teknik analizini paylaştı.

Şirketten yapılan açıklamaya göre, Shai-Hulud solucanı, yapılan siber saldırılarda kuruluşların projelerine entegre etmek için indirdiği 530 paket sürümünden 190 benzersiz paketi enfekte etti.

Kaspersky Tehdit Araştırması, kötü amaçlı yazılımın ilk enfekte ettiği paketi analiz etti ve bunun npm ekosistemine yönelik yaygın tedarik zinciri saldırısını nasıl başlattığına dair bilgileri yayınladı.

Kaspersky'nin araştırması, 'ngx-bootstrap sürüm 18.1.4'ün başlangıç noktası olarak hizmet ettiğini doğruladı ve sonucun elde edilmesinde kullanılan teknik metodolojiyi ortaya koydu.

- Gizli kurumsal kodları kamuya açık hale getiriyor

Araştırmacılar, yaptıkları analizde ayırt edici özellikler tespit etti. Bu sürümden sonraki tüm enfekte paketler kurulum sonrası komut dosyaları aracılığıyla kötü amaçlı kodları çalıştırırken, başlangıç noktası paketi benzersiz şekilde kurulum öncesi komutunu kullandı.

Bu da onun otomatik yayılmanın kurbanı değil, başlangıç noktası olduğunu ortaya çıkardı. Solucan, GitHub'daki özel kurumsal depoları tehlikeye atmak için özel olarak tasarlanmış işlevler içeriyor.

Yazılım, kimlik doğrulama jetonlarını çalmanın ötesinde, özel ve dahili depoları da GitHub kuruluşlarından kullanıcı hesaplarına otomatik olarak taşıyor. Böylece yazılım gizli kurumsal kodları etkili şekilde kamuya açık hale getirirken, tüm özel kod tabanlarını da ifşa ediyor.

Daha önce açık kaynak ekosistemlerini hedef alan tedarik zinciri saldırılarının artan eğilimi konusunda uyarıda bulunan Kaspersk'nin güvenlik araştırmacıları, kötü amaçlı modül oluşturmanın tehdit aktörleri arasında giderek daha popüler hale gelen bir saldırı vektörü olduğunu belirledi.

Açıklamada görüşlerine yer verilen Kaspersky Tehdit Araştırması Kötü Amaçlı Yazılım Analisti Vladimir Gurskiy, analizin, yapılan siber saldırının nasıl işlediğine ve depo maruziyetinin gerçek kapsamına ilişkin önemli bilgiler sağladığını belirtti.

Kuruluşların geliştirme süreçlerini bu tür sofistike saldırılardan korumak için güvenliği ihlal edilmiş paketler hakkında gerçek zamanlı istihbarata ihtiyaç duyduğuna dikkati çeken Gurskiy, şu bilgileri verdi:

'Solucanın özel depoları kuruluşlardan bireysel hesaplara sistematik olarak taşıma eylemi, tedarik zinciri tehditlerinde önemli bir artışa işaret ediyor ve yıllarca süren özel geliştirme çalışmalarını tehlikeye atma potansiyeli taşıyor. Bu araştırma, Kaspersky Açık Kaynak Yazılım Tehditleri Veri Akışını neden sürdürdüğümüzü bir kez daha ortaya koyuyor.'