93 Dakikalık Tehlikeli Süreç: Bitwarden CLI Paketi, Geliştiricilerin GitHub Hesaplarını Tehdit Etti

22 Nisan tarihinde, npm paket yönetim sistemi üzerinden yayınlanan sahte bir Bitwarden komut satırı arayüzü (CLI) paketi, geliştiricilerin bilgisayarlarını 93 dakika boyunca ciddi bir tehdit altına soktu. @bitwarden/[email protected] adıyla yayınlanan bu zararlı paket, orijinal CLI yerine kurulum sırasında arka kapı (backdoor) içeren bir versiyonunu indirilmesine neden oldu.

Bitwarden, saldırıyı tespit ederek paketi hemen kaldırdı ve yaptığı açıklamada, kullanıcıların şifreli verilerine ya da üretim sistemlerine erişim olmadığını belirtti. Güvenlik araştırma firması JFrog, zararlı yazılımı analiz etti ve saldırganların asıl hedefinin Bitwarden şifreli verileri değil, GitHub token'ları, npm token'ları, SSH anahtarları, AWS ve bulut hesaplarına ait kimlik bilgileri olduğunu ortaya çıkardı.

Hangi Veriler Hedef Alındı?

Saldırganlar, aşağıdaki kimlik bilgilerini ve verileri toplamayı amaçladı:

• GitHub token'ları: Geliştirici bilgisayarları, yerel yapılandırmalar ve CI/CD ortamlarında bulunur. Depo erişimi, otomatik iş akışlarının kötüye kullanımı ve yanal hareket için kullanılabilir.
• npm token'ları: Yerel yapılandırmalar ve yayın ortamlarında bulunur. Kötü niyetli paketlerin yayınlanması veya dağıtım akışlarının değiştirilmesi için kullanılabilir.
• SSH anahtarları: Geliştirici makineleri ve yapı sunucularında bulunur. Sunuculara, iç depolara ve altyapıya erişim sağlayabilir.
• Shell geçmişi: Yerel makinelerde bulunur. Kopyalanan şifreler, komutlar ve dahili hostname'ler hakkında bilgi verebilir.
• AWS, GCP ve Azure kimlik bilgileri: Yerel yapılandırma dosyaları, ortam değişkenleri ve CI/CD sırlarında bulunur. Bulut hizmetlerine, depolama alanlarına ve dağıtımlara erişim sağlayabilir.
• GitHub Actions sırları: CI/CD ortamlarında bulunur. Otomasyon, yapı çıktıları, dağıtımlar ve aşağı akış sırlarına erişim sağlayabilir.
• AI araçları yapılandırmaları: Proje dizinleri ve yerel geliştirme ortamlarında bulunur. API anahtarları, dahili uç noktalar ve model ayarları hakkında bilgi verebilir.

Saldırının İşleyişi ve Etkileri

JFrog'un yaptığı analizler, zararlı paketin hem kurulum sırasında hem de çalıştırma sırasında çalıştığını gösterdi. Paket, hem preinstall kancasını hem de bw ikili dosyasını yeniden yönlendirerek, Bun çalışma zamanını indiren ve gizlenmiş bir yükü çalıştıran bir yükleyiciye dönüştürdü.

Bu saldırı, kurbanların şifreli verilerine dokunmadan bile, CI/CD boru hatları, bulut hesapları ve otomatik dağıtım sistemleri için kritik olan kimlik bilgilerini sistematik olarak topladı. Güvenlik firması Socket, saldırının Bitwarden'ın CI/CD boru hattındaki tehlikeye açık bir GitHub Action'ı tarafından gerçekleştirildiğini belirtti. Bu durum, Checkmarx araştırmacıları tarafından izlenen daha geniş bir tedarik zinciri saldırısı kampanyasıyla bağlantılıdır.

Bitwarden'ın Açıklaması ve Güvenlik Önlemleri

Bitwarden, saldırının Checkmarx tarafından takip edilen tedarik zinciri saldırısı kampanyasıyla bağlantılı olduğunu doğruladı. Şirket, kullanıcıların şifreli verilerine veya üretim sistemlerine erişilmediğini vurguladı. Ancak, saldırının npm paket yönetim sisteminin güvenlik açıklarından kaynaklandığına dikkat çekildi.

npm, bu tür riskleri azaltmak için OIDC tabanlı CI/CD kimlik doğrulaması gibi güvenlik önlemlerini devreye almıştı. Uzmanlar, geliştiricilerin ve şirketlerin, üçüncü taraf paketleri yüklerken ekstra dikkat göstermesi gerektiğini vurguluyor.