Shai-Hulud’un geliştirici makinelerini enfekte edip GitHub organizasyonu erişimini ele geçirdiği olay: olay sonrası analiz

• Kötü amaçlı Shai-Hulud 2.0 npm paketi geliştirici makinelerini enfekte ederek Trigger.dev’in GitHub organizasyonu erişimini ele geçiren bir olaya yol açtı
• Enfeksiyon, geliştiricinin pnpm install çalıştırmasıyla kötü amaçlı paketin preinstall script’inin devreye girmesiyle başladı; TruffleHog aracı kullanılarak kimlik bilgileri çalındı
• Saldırganlar 17 saat boyunca 669 depoyu klonladı, ardından 10 dakika içinde 199 branch’e force push yapmayı ve 42 PR’ı kapatmayı denedi
• Paketler ve production sistemleri zarar görmedi; saldırı 4 dakika içinde tespit edilip hesap erişimi engellendi
• Olayın ardından npm script’lerinin devre dışı bırakılması, pnpm 10 yükseltmesi, OIDC tabanlı npm dağıtımı, branch protection’ın tüm depolarda uygulanması gibi güvenlik önlemleri güçlendirildi

Saldırıya genel bakış

• 25 Kasım 2025’te, dahili Slack üzerinden yapılan hata ayıklama sırasında birden fazla depoda Linus Torvalds adına atılmış “init” commit’i görülmesiyle anormal bir durum fark edildi
• İnceleme sonucunda, Shai-Hulud 2.0 tedarik zinciri solucanının geliştirici makinesini enfekte ederek GitHub kimlik bilgilerini çaldığı doğrulandı
• Bu solucanın 500’den fazla npm paketini enfekte ettiği ve 25.000’den fazla depoyu etkilediği bildirildi
• Trigger.dev’in resmi npm paketleri (@trigger.dev/*, CLI) enfekte olmadı

Saldırı zaman çizelgesi

• 24 Kasım 04:11 UTC: Kötü amaçlı paketlerin dağıtımı başladı
• 20:27 UTC: Almanya’daki bir geliştirici makinesi enfekte oldu
• 22:36 UTC: Saldırgan ilk erişimi elde etti ve büyük ölçekli depo klonlamaya başladı
• 15:27~15:37 UTC (25 Kasım): 10 dakika süren yıkıcı saldırı gerçekleştirildi
• 15:32 UTC: Anormallik tespit edildi ve 4 dakika içinde erişim engellendi
• 22:35 UTC: Tüm branch’lerin geri yüklenmesi tamamlandı

Enfeksiyon süreci

• Geliştirici pnpm install çalıştırdığında, kötü amaçlı paketin preinstall script’i çalışarak TruffleHog’u indirip yürüttü
• TruffleHog, GitHub token’ları, AWS kimlik bilgileri, npm token’ları, environment variable’lar gibi verileri tarayıp dışarı sızdırdı
• Enfekte makinede .trufflehog-cache dizini ve ilgili dosyalar bulundu
• Enfeksiyona neden olan paket silindiği için iz sürülemedi

Saldırganın faaliyetleri

• Enfeksiyonun ardından 17 saat boyunca keşif faaliyetleri sürdürüldü
  • ABD ve Hindistan merkezli altyapı kullanılarak 669 depo klonlandı
  • Geliştirici faaliyetleri izlenerek GitHub token’ı üzerinden erişim sürdürüldü
  • “Sha1-Hulud: The Second Coming” adlı bir depo oluşturuldu; bunun kimlik bilgilerini saklamak için kullanıldığı tahmin ediliyor
• Ardından 10 dakika boyunca yıkıcı eylemler gerçekleştirildi
  • 16 depoda 199 branch’e force push yapılmaya çalışıldı
  • 42 PR kapatıldı; bazıları branch protection ayarları sayesinde engellendi
  • Tüm commit’ler “Linus Torvalds <email> / init” biçiminde göründü

Tespit ve müdahale

• Anormallikler Slack uyarıları üzerinden gerçek zamanlı olarak tespit edildi
• 4 dakika içinde enfekte hesabın GitHub erişimi kesildi; ardından AWS, Vercel, Cloudflare dahil tüm servis erişimleri geri çekildi
• AWS CloudTrail log analizi, yalnızca read-only API çağrıları bulunduğunu ve production verilerine erişim olmadığını gösterdi
• AWS ayrıca Shai-Hulud ile ilişkili şüpheli etkinlikleri bağımsız olarak tespit edip uyarı gönderdi

Etki ve kurtarma

• 669 depo klonlandı, 199 branch’e force push denendi, 42 PR kapatıldı
• GitHub’da sunucu tarafı reflog bulunmaması kurtarmayı zorlaştırdı; ancak Event API ve yerel reflog kullanılarak tüm ortam 7 saat içinde geri yüklendi
• npm paketleri ve production altyapısı zarar görmedi

GitHub App anahtarının açığa çıkması

• İnceleme sırasında geliştiricinin dizüstü bilgisayarının çöp kutusunda bir GitHub App private key bulundu
• Bu anahtar müşteri depolarında read/write yetkisine sahipti ve hemen rotate edildi
• Veritabanı (installation ID’lerin tutulduğu yer) zarar görmediği için müşteri depolarına erişim olduğuna dair kanıt bulunmadı, ancak bu olasılık tamamen dışlanamıyor
• GitHub destek ekibinden ek log istendi ve müşterilere e-posta bildirimi gönderildi

Shai-Hulud teknik analizi

• setup_bun.js çalıştırıldığında Bun runtime kuruluyor ve arka planda bun_environment.js yürütülüyor
• TruffleHog kullanılarak $HOME dizinindeki kimlik bilgileri toplanıyor
• Toplanan veriler (contents.json, cloud.json, truffleSecrets.json vb.) rastgele GitHub depolarına üç kat base64 encoded biçimde yükleniyor
• npm token’ı varsa, enfekte hesabın paketleri değiştirilip yeniden yayımlanarak solucan yayılıyor
• Kimlik bilgileri yoksa home dizinini silmeye çalışma davranışı gösteriyor
• Enfeksiyon göstergesi dosyalar: setup_bun.js, bun_environment.js, .trufflehog-cache/ vb.

Güvenlik güçlendirme önlemleri

• npm script’leri tamamen devre dışı bırakıldı (ignore-scripts=true)
• pnpm 10’a yükseltildi: script’ler varsayılan olarak devre dışı, minimumReleaseAge (3 gün) ayarıyla yeni paket kurulumları geciktiriliyor
• Uzun ömürlü token’ları kaldırmak için OIDC tabanlı npm Trusted Publishers benimsendi
• Tüm depolarda branch protection uygulandı
• AWS SSO için Granted devreye alındı, session token’ları şifrelendi
• GitHub Actions içinde harici katkıcıların workflow çalıştırmaları için onay zorunlu hale getirildi

Diğer ekipler için çıkarımlar

• npm kurulumu sırasında çalışan keyfi kod yürütme yapısı başlı başına bir saldırı yüzeyi
• ignore-scripts=true ayarı kullanılmalı ve yalnızca gerekli paketler whitelist ile yönetilmeli
• pnpm minimumReleaseAge ile yeni paket kurulumları geciktirilmeli
• Branch protection ve OIDC tabanlı dağıtım zorunlu güvenlik önlemleri olarak görülmeli
• Yerel makinede uzun ömürlü kimlik bilgileri saklanmamalı; dağıtım yalnızca CI üzerinden yapılmalı
• Slack uyarılarındaki gürültü, tespitin anahtarı oldu

İnsani boyut

• Enfekte olan geliştiricinin bir hatası yoktu; olay yalnızca npm install çalıştırılmasıyla meydana geldi
• Saldırı sırasında ilgili hesabın yüzlerce rastgele depoyu otomatik olarak ‘star’ladığına dair izler bulundu
• Olay, bireysel bir hatadan ziyade ekosistemin yapısal zayıflığını ortaya koydu

Özet metrikler

• İlk enfeksiyondan ilk saldırıya kadar: yaklaşık 2 saat
• Saldırganın erişimi sürdürdüğü süre: 17 saat
• Yıkıcı eylemlerin süresi: 10 dakika
• Tespite kadar 5 dakika, engellemeye kadar 4 dakika
• Tam kurtarma için geçen süre: 7 saat
• Klonlanan depo: 669 / Etkilenen branch: 199 / Kapatılan PR: 42

Referans kaynaklar

• Socket.dev: Shai-Hulud Strikes Again V2
• PostHog, Wiz, Endor Labs ve HelixGuard analiz raporları
• npm Trusted Publishers, pnpm onlyBuiltDependencies, minimumReleaseAge, Granted belgeleri