NPM'yi Vuran Büyük Solucan Tarzı Saldırı, Kripto Cüzdan Kimlik Bilgilerini Tehlikeye Atıyor

Hızla yayılan Shai-Hulud adındaki bir tedarik zinciri saldırısı, yüzlerce npm paketini enfekte etti ve GitHub tokenları, bulut anahtarları ve kripto cüzdan verileri gibi hassas geliştirici kimlik bilgilerini açığa çıkardı. Kampanya Eylül 2025 ortalarında başladı ve solucanın bakımcı hesapları ve yaygın olarak kullanılan JavaScript kütüphaneleri arasında hareket etmesiyle hızla tırmandı.

Shai-Hulud Solucanı Nasıl Yayılır

Güvenlik ajansları, saldırganların önce bir maintainer hesabını genellikle phishing yoluyla ele geçirdiğini, ardından da meşru paketlerin değiştirilmiş sürümlerini yüklediğini rapor ediyor. Bir geliştirici bu sürümlerden birini yüklediğinde, macOS veya Linux sistemlerinde bundle.js adlı kötü niyetli bir script çalışır.

Kurt, açık kaynak aracı TruffleHog'u kullanarak makineleri ve CI boru hatlarını sırları tarar. Şunlar gibi öğeleri arar:

• GitHub kişisel erişim belirteçleri
• npm publish tokenlar
• AWS, GCP ve Azure bulut anahtarları
• Cüzdan anahtarları ve kripto geliştirme kimlik bilgileri

Eğer geçerli npm token'ları bulursa, hemen aynı bakımcıya ait ek paketleri günceller ve yeniden yayımlar. Bu davranış, kötü amaçlı yazılımın ekosistem boyunca hızla çoğalmasını sağlar.

Süreklilik ve Veri Maruziyeti

Araştırmacılar, solucanın kurban depoları içinde GitHub Actions iş akışları oluşturarak aktif kalmaya çalıştığını buldular. Ayrıca çalınan kimlik bilgilerini ve özel depo verilerini Shai-Hulud etiketli yeni kamu GitHub depolarına yüklüyor. Bazı ele geçirilmiş kütüphaneler haftada milyarlarca indirme alıyor, bu da maruziyetin kapsamı hakkında ciddi endişeler doğuruyor.

Ethereum Name Service veya popüler web3 kütüphanelerinin doğrudan enfeksiyonlarını gösteren onaylanmış bir vaka olmamasına rağmen, risk yüksek kalmaktadır. npm ve PyPI'deki önceki saldırılar, özellikle kripto araçlarını hedef almıştır, bu nedenle cüzdanlar, akıllı sözleşmeler veya web3 uygulamaları üzerinde çalışan geliştiricilerin dikkatli olmaları gerekmektedir.

Neden Kripto Projeleri Yükseltilmiş Riskle Karşılaşıyor

Geliştiriciler genellikle CI/CD sistemleri, konteynerler ve üretim ortamlarında npm paketlerine güvenmektedir. Bu nedenle, tek bir tehlikeye maruz kalmış bağımlılık, tüm blok zinciri iş akışlarını etkileyebilir. Saldırganlar cüzdan işlemlerini engelleyebilir, anahtar kelimeleri yakalayabilir veya akıllı sözleşme yönetimine bağlı dağıtım sırlarını okuyabilir.

Geliştiricilerin Şimdi Ne Yapması Gerekiyor

Uzmanlar takımların hemen harekete geçmesi gerektiğini vurguluyor:

• 16 Eylül 2025'ten önce kullanılan tüm bağımlılıkları denetleyin
• Güvenli paket sürümlerini sabitle
• Her geliştirici kimliğini, GitHub, npm, SSH ve bulut tokenleri dahil olmak üzere döndürün
• Tüm hesaplarda phishing'e karşı dirençli MFA'yı etkinleştir

Shai-Hulud olayı, açık kaynak güvenliğinde büyük bir değişimi vurgulamaktadır. Otonom tedarik zinciri solucanları artık teorik değil. Ekosistem artık daha sıkı bağımlılık kontrollerine, daha iyi araçlara ve bakımcılar için daha sıkı izinlere ihtiyaç duymaktadır.