Mini Shai-Hulud'un Dönüşü: npm ekosistemini vuran kendi kendine yayılan tedarik zinciri saldırısı (5/11)
(stepsecurity.io)Genel Bakış
Mini Shai-Hulud solucanı, CI/CD pipeline'larını ele geçirip geliştiricilerin sırlarını (gizli bilgilerini) çalarak meşru npm paketlerini aktif biçimde enfekte ediyor. StepSecurity'nin OSS Package Security Feed'i bu saldırıyı ilk olarak resmî @tanstack paketlerinde tespit etti ve ekosistem genelindeki yayılımı gerçek zamanlı olarak takip ediyor.
Zamanlama ve Ölçek
11 Mayıs 2026 saat yaklaşık 19:20 UTC civarında, resmî @tanstack/* paketlerinin 10 kötü amaçlı sürümü 6 dakika içinde npm registry'sine yayımlandı. Bu paketler, on binlerce React projesinde kullanılan TanStack Router framework'ünün temel bileşenleridir.
Kötü Amaçlı Yük
2,3 MB boyutunda, obfuscate edilmiş bir kimlik bilgisi hırsızlığı payload'u enjekte edildi ve GitHub token'ları, npm token'ları ile CI/CD sırlarını toplamak üzere tasarlandı.
Temel Tehdit — Kendi Kendine Yayılma Mekanizması
Shai-Hulud solucanı, depoya doğrudan sızmak zorunda kalmadan meşru build sürecine tutunup kullanıcı token'larını kullanarak kendini yayıyor. Başka bir deyişle, SLSA provenance, OIDC tabanlı yayımlama ve güvenilir CI/CD pipeline'larına sahip paketler bile silah hâline getirilebilir; bu da saldırının en kritik sonucudur.
Zincirleme Enfeksiyon Riski
npm ekosisteminin birbirine bağlı yapısı ideal bir yayılma ortamı sunuyor ve tek bir token'ın ele geçirilmesi, dakikalar içinde onlarca pakete zincirleme enfeksiyon yayabilir — bu vakada da 6 dakika içinde 5 pakete yayılan 10 kötü amaçlı sürüm dağıtıldı.
Henüz yorum yok.