Milyonlarca cihazın çökmesine neden olmuştu: CrowdStrike’ta yeni tehdit
Siber güvenlik şirketi CrowdStrike, bir yıl önce yaşanan ve milyonlarca cihazı etkileyen küresel bilgisayar kesintisinin ardından bu kez kendini kopyalayan yeni bir malware (kötü amaçlı yazılım) tehdidiyle karşı karşıya.
Siber güvenlik gazetecisi Brian Krebs’in haberine göre, yaklaşık 25 kod paketi, Shai-Hulud adlı yeni bir kötü amaçlı yazılım tarafından ele geçirildi. Yazılım, geliştiricilerin bilgisayarlarına Node Package Manager (NPM) üzerinden sızıyor. NPM, yazılım modülleri ve kod araçlarının bulunduğu, yaygın kullanılan bir JavaScript yazılım deposu.
ADINI BİLİMKURGUDAN ALIYOR
Shai-Hulud, bulaştığı bilgisayarlardan elde ettiği kimlik bilgilerini GitHub platformunda herkese açık bir dosyada paylaşıyor. Malware, adını Frank Herbert’in 1965 tarihli bilim kurgu romanı Dune’daki efsanevi kum solucanından alıyor.
Araştırmacılar, Shai-Hulud’un tehlikesini şöyle açıklıyor: Herhangi bir geliştirici, NPM’den enfekte olmuş bir modülü kurduğunda, solucan sistemdeki erişim token’larını bulup kullanıcının hesabıyla ilişkilendirilen 20 popüler paketi enfekte ediyor.
Bu da paket sahibinin tüm modüllerini etkileyebilen zincirleme bir etki yaratabilir.
TÜRÜNÜN İLK ÖRNEĞİ
Futurism’e konuşan ReversingLabs yazılım mühendisi Karlo Zanki, Shai-Hulud’u “türünün ilk örneği olan kendini kopyalayan bir solucan” olarak tanımlıyor.
Krebs’e göre şu ana kadar en az 187 NPM modülü etkilenmiş durumda ve bunların 25’i CrowdStrike tarafından yönetiliyor.
Ancak ilginç bir şekilde solucan, kurbanın Linux veya Mac işletim sistemi kullandığını varsayıyor ve Windows bilgisayarları atlıyor.
YAYILMASI YAVAŞLADI
CrowdStrike ve NPM, enfekte paketleri hızla kaldırarak solucanın yayılmasını yavaşlattı. CrowdStrike temsilcisi, The Hacker News’e yaptığı açıklamada, “Kamuya açık NPM kayıtlarında zararlı paketleri tespit ettikten sonra hızla kaldırdık ve anahtarlarımızı döndürdük” dedi.
Güvenlik firması Aikido’dan araştırmacı Charlie Eriksen ise saldırıyı “canlı bir şey” gibi düşünmek gerektiğini söyledi:
“Çünkü bir süre uyku durumunda kalabilir ve sadece bir kişi yanlışlıkla enfekte olduğunda yayılım yeniden başlar. Özellikle süper yayıcı bir saldırı gerçekleşirse.”
