Siber Güvenlikte Yeni Tehdit: Shai-Hulud

Siber güvenlik firması CrowdStrike, bir yıl önce milyonlarca cihazı etkileyen küresel bir bilgisayar kesintisinin ardından, bu kez kendini kopyalayan yeni bir kötü amaçlı yazılım tehdidiyle karşı karşıya kalmış durumda.

Siber güvenlik gazetecisi Brian Krebs’in aktardığına göre, yaklaşık 25 kod paketi, "Shai-Hulud" adlı kötü amaçlı yazılım tarafından etkisi altına alındı. Bu yazılım, geliştiricilerin bilgisayarlarına Node Package Manager (NPM) aracılığıyla sızıyor. NPM, yazılım modülleri ve kod araçlarının bulunduğu yaygın bir JavaScript yazılım deposudur.

ADINI BİLİMKURGUDAN ALIYOR

Shai-Hulud, bulaştığı bilgisayarlardan elde ettiği kimlik bilgilerini GitHub platformundaki herkese açık bir dosyada yayımlıyor. Bu kötü amaçlı yazılım, adını Frank Herbert’in 1965 yılında kaleme aldığı ünlü bilim kurgu romanı Dune’daki efsanevi kum solucanından alıyor.

Araştırmacılar, Shai-Hulud’un oluşturduğu tehlikeyi şöyle açıklıyor: Eğer bir geliştirici, NPM’den enfekte olmuş bir modül yüklerse, solucan, sistemdeki erişim token'larını tarayarak kullanıcının hesabıyla ilişkili 20 popüler paketi etkileyebilir.

Bu durum, paket sahibinin tüm modüllerini etkileyebilecek bir zincirleme etki yaratma potansiyeline sahiptir.

TÜRÜNÜN İLK ÖRNEĞİ

Futurism’e röportaj veren ReversingLabs yazılım mühendisi Karlo Zanki, Shai-Hulud’u “türünün ilk örneği olan kendini kopyalayan bir solucan” şeklinde tanımlıyor. Krebs’in bildirdiğine göre, şu ana kadar en az 187 NPM modülü etkilenmiş olup, bunlardan 25’i CrowdStrike tarafından yönetilmektedir.

Öte yandan solucanın, kurbanın Linux veya Mac işletim sistemi kullandığını varsaydığı ve Windows kullanıcılarını göz ardı ettiği dikkat çekici bir olgu olarak öne çıkıyor.

YAYILMASI YAVAŞLADI

CrowdStrike ve NPM, enfekte paketleri hızla kaldırarak solucanın yayılımını yavaşlattı. CrowdStrike temsilcisi, The Hacker News’e verdiği açıklamada, “Kamuya açık NPM kayıtlarında zararlı paketleri belirledikten sonra hızlı bir şekilde kaldırdık ve anahtarlarımızı değiştirdik” şeklinde bilgi verdi.

Güvenlik firması Aikido’dan araştırmacı Charlie Eriksen, saldırıyı "canlı bir varlık" olarak değerlendirmek gerektiğini belirtti: “Çünkü bir süreliğine uykuya dalabilir ve sadece bir kişi yanlışlıkla enfekte olduğunda yayılım tekrar başlayabilir. Özellikle süper yayıcı bir saldırı gerçekleşirse.”