Milyonlarca Cihazı Etkilemişti: CrowdStrike’ta Yeni Siber Tehdit!

Siber güvenlik şirketi CrowdStrike, dünya genelinde milyonlarca cihazı etkileyen bir bilgisayar kesintisinin ardından bu kez Shai-Hulud adlı kendini kopyalayan yeni bir kötü amaçlı yazılım tehdidiyle mücadele ediyor. Siber güvenlik gazetecisi Brian Krebs’in haberine göre, malware, geliştiricilerin bilgisayarlarına Node Package Manager (NPM) üzerinden sızıyor ve bulaştığı cihazlardan elde ettiği kimlik bilgilerini GitHub’da herkese açık bir dosyada paylaşıyor.

SHAI-HULUD NASIL ÇALIŞIYOR?

Shai-Hulud, kurban bilgisayarındaki erişim token'larını buluyor ve kullanıcıyla ilişkilendirilen 20 popüler NPM paketini enfekte ediyor. Bu zincirleme etki, yalnızca bir modülün bulaşmasıyla paket sahibinin tüm modüllerinin etkilenmesine yol açabiliyor. Malware, adını Frank Herbert’in 1965 tarihli Dune romanındaki efsanevi kum solucanından alıyor.

Saldırının türünün ilk örneği olduğunu belirten ReversingLabs yazılım mühendisi Karlo Zanki, Shai-Hulud’u "kendini kopyalayan bir solucan" olarak tanımlıyor. Şu ana kadar en az 187 NPM modülü enfekte olmuş durumda ve bunların 25’i CrowdStrike tarafından yönetiliyor. İlginç şekilde solucan, Linux ve Mac işletim sistemlerini hedef alıyor, Windows cihazları etkilenmiyor.

GÜVENLİK FİRMALARININ MÜDAHALESİ

CrowdStrike ve NPM, enfekte paketleri hızla kaldırarak solucanın yayılmasını yavaşlattı. CrowdStrike temsilcisi, "Kamuya açık NPM kayıtlarında zararlı paketleri tespit ettikten sonra hızla kaldırdık ve anahtarlarımızı döndürdük" dedi.

Siber güvenlik araştırmacısı Charlie Eriksen, saldırıyı "canlı bir organizma" gibi değerlendirmek gerektiğini vurguladı:
"Solucan bir süre uyku durumunda kalabilir. Yalnız bir kişi yanlışlıkla enfekte olduğunda yayılım yeniden başlayabilir. Eğer süper yayıcı bir saldırı gerçekleşirse ciddi sonuçlar doğurabilir."