Geçtiğimiz hafta sızdırılan Shai-Hulud kötü amaçlı yazılımı, Node Package Manager (npm) indeksinde yeni saldırılarda kullanılmaya başlandı. deadcode09284814 hesabını kullanan bir tehdit aktörü, npm üzerinde dört kötü amaçlı paket yayınlarken bunlardan birine Shai-Hulud’un korumasız bir sürümünü yerleştirdi. Bu npm güvenlik tehdidi, geliştiricilerin kimlik bilgilerini, sırlarını, kripto para cüzdanı verilerini ve hesap bilgilerini hedef alıyor.

Sızdırılan Shai-Hulud Malware Kodu npm Paketlerinde Yeniden Ortaya Çıktı

OXsecurity araştırmacıları, hafta sonu boyunca yapılan kötü amaçlı yüklemeleri tespit ederken tehdit aktörünün Axios kullanıcılarını hedef alan yazım hatası içeren isimler (typosquatting) ve bazı genel adlar kullandığını fark etti. Bu yazılım tedarik zinciri saldırısı kapsamında yayınlanan dört kötü amaçlı paket arasında chalk-tempalte (Shai-Hulud klonu bilgi hırsızı), @deadcode09284814/axios-util (kimlik bilgisi ve bulut yapılandırma hırsızı), axois-utils (bilgi hırsızı ve kalıcı DDoS botnet) ve color-style-utils (kripto cüzdanları ve IP bilgilerini hedef alan temel bilgi hırsızı) bulunuyor.

chalk-tempalte paketi, son Mini Shai-Hulud yazılım tedarik zinciri saldırısından sorumlu TeamPCP hacker grubuna atfedilen Shai-Hulud malware içeriyor. Shai-Hulud malware geçen hafta GitHub’da ortaya çıkmış ve TeamPCP hacker grubundan geldiği iddia edilen bir mesajla “İşte Yine Başlıyoruz – Katliam Devam Etsin. TeamPCP’den Bir Hediye” ifadelerine yer verilmişti.

Shai-Hulud Klonu Korumasız ve Doğrudan Sızdırılan Kodu Kullanıyor

OXsecurity, chalk-tempalte paketinin npm’de dağıtılan belgelenmiş ilk Shai-Hulud klonu olduğunu ancak bunun sofistike bir örnek olmadığını, aksine sızdırılan kaynak kodun herhangi bir koruma olmadan değiştirilmemiş bir kopyası olduğunu belirtiyor. Araştırmacılar, bunun TeamPCP hacker grubundan farklı bir aktöre işaret eden en önemli kanıtın, Shai-Hulud malware kodunun hiçbir karartma tekniği kullanılmadan neredeyse birebir kopyalanmış olması olduğunu söylüyor.

Kötü amaçlı yazılım, kimlik bilgilerini, sırları, kripto para cüzdanı verilerini ve hesap bilgilerini çalarken bunları bir komuta ve kontrol sunucusuna sızdırıyor. Kod, GitHub yayınlama işlevini de koruduğu için çalınan kimlik bilgilerini otomatik olarak oluşturulan herkese açık depolara yüklüyor. typosquatting saldırısı tekniğiyle dağıtılan bu paketler, geliştiricilerin sistemlerine sızarak daha geniş çaplı veri ihlallerine yol açabiliyor.

👉️ İlginizi Çekebilir: Windows MiniPlasma Sıfırıncı Gün Açığı ile Saldırganlar Sistem Yetkisi Kazanıyor

Diğer üç paketten ‘axois-utils’, dört paketin tamamında bulunan bilgi çalma işlevine ek olarak DDoS botnet yeteneği içermesiyle öne çıkıyor. Paket, HTTP, TCP ve UDP sel saldırılarının yanı sıra TCP sıfırlama saldırılarını da desteklerken araştırmacılar ayrıca “hayalet bot” (phantom bot) ifadesine ilişkin dahili referanslar da buldu.

OXsecurity, kötü amaçlı paketleri indiren geliştiricilerin bunları derhal kaldırmalarını ve etkilenen sistemlerdeki kimlik bilgileri ile API anahtarlarını yenilemelerini öneriyor. Araştırmacılar, dört paketin toplam indirme sayısının 2.678 olduğunu belirtirken tehdit aktörlerinin Shai-Hulud malware kaynak kodunu hızla kopyalayıp yeteneklerini genişletmek için değiştirmeye başladığını vurguluyor.