16 Milyon Kez İndirilmiş npm Paketlerini Vuran GitHub Solucanı

• </span></p>
• <p><span style="font-weight: 400;">Önemli Noktalar: </span></p>
• <ul>
• <li><span style="font-weight: 400;">Mini Shai-Hulud, 19 Mayıs'ta GitHub Actions'ı istismar ederek haftalık 16 milyon indirme sayısına sahip 300'den fazla npm paketini tehlikeye attı. </span></li>
• <li><span style="font-weight: 400;">Kötü amaçlı yazılım, çalınan npm jetonu iptal edildiğinde geliştiricinin makinesini silen bir "ölü adam anahtarı" yükler. </span></li>
• <li><span style="font-weight: 400;">GitHub, 20 Mayıs'ta aşamalı yayınlama, toplu OIDC entegrasyonu ve eski npm tokenlerini kullanımdan kaldırma planıyla yanıt verdi.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Mini Shai-Hulud, GitHub Actions'ı istismar ederek haftalık 16 milyon indirme sayısına ulaştı

Team PCP tehdit grubuna atfedilen Mini Shai-Hulud kampanyası, çoğu tedarik zinciri saldırısının işleyişinden farklıdır. Saldırgan, geliştiricinin kimlik bilgilerini çalıp doğrudan yayınlamak yerine, GitHub'daki hedef depoyu çatallar ve `pull_request_target` iş akışını tetikleyen bir çekme isteği açar.

Bu, GitHub Actions önbelleğini kötü amaçlı bir pnpm deposuyla zehirler ve bu noktadan itibaren, virüs bulaşmış paketler geçerli imzalı sertifikalar taşır ve SLSA köken kontrollerinden geçer, böylece standart güvenlik araçlarına tamamen temiz görünürler.

19 Mayıs'ta, saldırganlar @atool ad alanında ele geçirilmiş bir bakımcı hesabına erişim sağlayarak 22 dakikalık otomatik bir saldırı dalgasında 323 pakete yayılmış 300'den fazla kötü amaçlı paket sürümü yayınladıklarından, en son dalga AntV veri görselleştirme ekosistemini vurdu.

Etkilenen paketler arasında, haftalık yaklaşık 1,1 milyon indirilme sayısına

sahip Apache Echarts için bir React sarmalayıcısı olan echarts-for-react de bulunuyor. Bu dalgada etkilenen tüm paketlerin toplam haftalık indirme sayısı yaklaşık 16 milyon olarak tahmin ediliyor.

En endişe verici teknik ayrıntı, bir geliştiricinin müdahale etmeye çalışması durumunda ne olacağıdır. Kötü amaçlı yazılım, bir "dead-man's switch" (ölü adam anahtarı) yükler; yani, oluşturduğu npm jetonunun iptal edilip edilmediğini kontrol etmek için her 60 saniyede bir GitHub'ın API'sini sorgulayan bir kabuk betiği. Bu token, "IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner" (Bu tokeni iptal ederseniz, sahibinin bilgisayarını siler) açıklamasını taşır ve bir geliştirici tarafından iptal edildiğinde, virüs bulaşmış makinenin ana dizinini anında siler.

Token ayrıca GitHub, AWS, Azure, GCP, Kubernetes, Hashi Corp Vault ve 90'dan fazla geliştirici aracı yapılandırmasından kimlik bilgilerini çalar ve daha sonra bağlı bulut altyapısı boyunca yatay olarak yayılır.

Tek Saldırı, Çok Sayıda Kurban

Kampanya, 19 Mayıs'ta Microsoft'un resmi durabletask Python SDK'sının üç kötü amaçlı sürümünün yayınlanmasıyla Python Package Index'i (PyPI) aynı anda vurdu; bu sürümler, 28 KB'lık bir kimlik bilgisi çalan yükü (ilk çalıştırmanın ardından AWS, Azure ve GCP ortamlarında hareket edebilen) sessizce indirip çalıştırıyordu.

GitHub, 20 Mayıs'ta npm yayınlamasına yönelik üç temel değişikliği özetleyen bir duyuru ile yanıt verdi: kuruluşların yüzlerce paketi güvenilir yayıncılığa büyük ölçekte taşımasına yardımcı olmak için toplu OIDC entegrasyonu, GitHub Actions ve Gitlab'ın ötesine genişletilmiş OIDC sağlayıcı desteği ve paketler yayına girmeden önce bakımcılarına inceleme süresi tanıyan ve çok faktörlü kimlik doğrulama (MFA) onayı gerektiren yeni bir aşamalı yayınlama modeli.

Şirket ayrıca eski klasik tokenleri kullanımdan kaldırmayı, kullanıcıları FIDO tabanlı 2FA'ya geçirmeyi ve varsayılan olarak token tabanlı yayınlamayı yasaklamayı planlıyor. Kampanyanın Eylül 2025'teki ilk dalgasında GitHub, npm kayıt defterinden 500'den fazla güvenliği ihlal edilmiş paketi kaldırmıştı

Blockchain güvenlik firması Slowmist, aynı kampanyanın bir parçası olarak haftalık 822.000 indirme sayısına sahip node-ipc paketinin üç kötü amaçlı sürümünü işaretledikten sonra 14 Mayıs'ta erken bir uyarı yayınlamıştı.

İşaretlenen paketlerden herhangi birini kullanan geliştiricilere, bağımlılık ağaçlarını derhal denetlemeleri, kötü amaçlı token'ı önce iptal etmeden tüm kimlik bilgilerini değiştirmeleri ve Snyk, Wiz, Socket.dev ve Step Security tarafından yayınlanan güvenlik ihlali göstergelerini kontrol etmeleri tavsiye edildi.