Siber güvenlik şirketi CrowdStrike, bir yıl evvel yaşanan ve milyonlarca aygıtı etkileyen global bilgisayar kesintisinin akabinde bu defa kendini kopyalayan yeni bir malware (kötü emelli yazılım) tehdidiyle karşı karşıya.
Siber güvenlik gazetecisi Brian Krebs’in haberine nazaran, yaklaşık 25 kod paketi, Shai-Hulud isimli yeni bir makûs maksatlı yazılım tarafından ele geçirildi. Yazılım, geliştiricilerin bilgisayarlarına Node Package Manager (NPM) üzerinden sızıyor. NPM, yazılım modülleri ve kod araçlarının bulunduğu, yaygın kullanılan bir JavaScript yazılım deposu.
ADINI BİLİMKURGUDAN ALIYOR
Shai-Hulud, bulaştığı bilgisayarlardan elde ettiği kimlik bilgilerini GitHub platformunda herkese açık bir evrakta paylaşıyor. Malware, ismini Frank Herbert’in 1965 tarihli bilim kurgu romanı Dune’daki efsanevi kum solucanından alıyor.
Araştırmacılar, Shai-Hulud’un tehlikesini şöyle açıklıyor: Rastgele bir geliştirici, NPM’den enfekte olmuş bir modülü kurduğunda, solucan sistemdeki erişim token’larını bulup kullanıcının hesabıyla ilişkilendirilen 20 tanınan paketi enfekte ediyor.
Bu da paket sahibinin tüm modüllerini etkileyebilen zincirleme bir tesir yaratabilir.
TÜRÜNÜN BİRİNCİ ÖRNEĞİ
Futurism’e konuşan ReversingLabs yazılım mühendisi Karlo Zanki, Shai-Hulud’u “türünün birinci örneği olan kendini kopyalayan bir solucan” olarak tanımlıyor.
Krebs’e nazaran şu ana kadar en az 187 NPM modülü etkilenmiş durumda ve bunların 25’i CrowdStrike tarafından yönetiliyor.
Ancak enteresan bir formda solucan, kurbanın Linux yahut Mac işletim sistemi kullandığını varsayıyor ve Windows bilgisayarları atlıyor.
YAYILMASI YAVAŞLADI
CrowdStrike ve NPM, enfekte paketleri süratle kaldırarak solucanın yayılmasını yavaşlattı. CrowdStrike temsilcisi, The Hacker News’e yaptığı açıklamada, “Kamuya açık NPM kayıtlarında ziyanlı paketleri tespit ettikten sonra süratle kaldırdık ve anahtarlarımızı döndürdük” dedi.
Güvenlik firması Aikido’dan araştırmacı Charlie Eriksen ise saldırıyı “canlı bir şey” üzere düşünmek gerektiğini söyledi:
“Çünkü bir mühlet uyku durumunda kalabilir ve yalnızca bir kişi kazara enfekte olduğunda yayılım tekrar başlar. Bilhassa harika yayıcı bir atak gerçekleşirse.”
