Red Hat npm Tedarik Zinciri Saldırısı: 'Miasma' Solucanı Geliştirici Paketlerini Ele Geçirdi
security github supply-chain-attack npm red-hat cloud-security devsecops
trending_up Trend: security

Red Hat npm Tedarik Zinciri Saldırısı: 'Miasma' Solucanı Geliştirici Paketlerini Ele Geçirdi

calendar_month 4 Haziran 2026

Özet

@redhat-cloud-services organizasyonu altındaki birden fazla npm paketi, ciddi bir tedarik zinciri (supply chain) saldırısının kurbanı oldu. Tehdit aktörleri, geliştirici iş istasyonlarından ve CI/CD süreçlerinden bulut kimlik bilgilerini ve ortam değişkenlerini çalmak için tasarlanmış, kötü şöhretli Shai-Hulud zararlı yazılımının bir varyantı olan “Miasma” solucanını paketlere enjekte etti. Bu olay, yerleşik bulut ekosistemleri içindeki güvenliği tehlikeye girmiş bağımlılıkların artan riskini vurguluyor.

Neler Oldu?

  • Paketlerin Ele Geçirilmesi: Kimliği belirsiz aktörler, Red Hat’in yayınlama iş akışlarına erişim sağlayarak @redhat-cloud-services kapsamındaki birkaç pakete bösartı kod enjekte etti.
  • Solucan Davranışı: “Miasma” zararlı yazılımı, kurulumdan sonra yerel ortamlarda yayılan ve aktif olarak .env dosyalarını, AWS kimlik bilgilerini ve Kubernetes yapılandırmalarını arayan bir solucan gibi hareket ediyor.
  • Shai-Hulud Varyantı: Orca Security’deki güvenlik araştırmacıları, Miasma’yı Shai-Hulud’un iyileştirilmiş sızdırma yöntemlerine sahip, teknik olarak gelişmiş bir evrimi olarak tanımladı.
  • Etkilenen Platformlar: Saldırılar Orca Security, Aikido, StepSecurity ve CyberPress tarafından bağımsız olarak doğrulandı.

Neden Önemli?

Red Hat, kurumsal BT dünyasının köşe taşlarından biridir. @redhat-cloud-services gibi güvenilir bir organizasyon altındaki paketler ele geçirildiğinde, bu durum npm ekosistemine olan temel güveni sarsar. Geliştiriciler genellikle büyük bulut sağlayıcılarının paketlerine körü körüne güvenirler, bu da onları tedarik zinciri saldırıları için ideal hedeflere dönüştürür. Bulut kimlik bilgilerinin çalınması, devasa veri ihlallerine ve tüm altyapının ele geçirilmesine yol açabilir.

Kanıtlar

Güvenlik firmaları, bösartı paket sürümlerinin detaylı analizlerini yayınladı:

  1. Orca Security: İlk keşfi ve teknik enfeksiyon akışını belgeledi.
  2. Aikido & StepSecurity: Belirli paket adlarının ele geçirildiğini doğruladı ve saldırı göstergelerini (IOCs) sağladı.
  3. CyberPress: Bulut yerlisi (cloud-native) ortamlar üzerindeki etkiyi analiz etti.

Analiz

Shai-Hulud varyantının kullanılması profesyonel aktörlere işaret ediyor. Basit “typosquatting” (benzer isimli paketler) saldırılarının aksine, bu doğrudan bir tedarik zinciri ihlalidir (Hesap Ele Geçirme veya CI/CD atlatma). Ortam değişkenlerine odaklanılması, saldırganların modern altyapının “en değerli varlıklarının” geçici yapılandırmalarda ve sır depolarında yattığını giderek daha iyi anladığını gösteriyor.

Pratik Çıkarımlar

  • Derhal Denetim: Tüm projeleri @redhat-cloud-services paketlerinin kullanımı açısından kontrol edin.
  • Sürümleri Sabitleyin: Bilinen iyi sürümleri sabitlemek için npm shrinkwrap veya package-lock.json kullanın.
  • Sır Hijyeni: Statik anahtarlar yerine IAM rollerini kullanın ve sırları asla düz metin .env dosyalarında saklamayın.
  • Pipeline Taraması: CI/CD hattınızdaki bağımlılıklarda bösartı kodu tespit edecek araçları uygulayın.

Açık Sorular

  • Saldırganlar tam olarak nasıl Red Hat’in altyapısına sızmayı başardı?
  • Benzer kodları içeren başka, henüz keşfedilmemiş paketler var mı?
  • Çalınan kimlik bilgileri halihazırda takip saldırıları için aktif olarak kullanıldı mı?

Kaynaklar

  1. Orca Security: Red Hat npm Supply Chain Attack
  2. StepSecurity: Multiple redhat-cloud-services npm Packages compromised
  3. Aikido: Red Hat npm Packages compromised - Credential Stealing Worm
  4. CyberPress: Red Hat Cloud npm Packages Compromised
  5. Phoenix Security: Miasma Red Hat Cloud Services npm Supply Chain Attack