Mini Shai-Hulud: TanStack, OpenAI ve npm Supply Chain

Son tedarik zinciri saldırısı sadece açık kaynak kayıt defterlerini tehlikeye atmakla kalmadı. Dünyanın en güvenlik bilincine sahip kuruluşlarından birinin sürüm yayın sürecini ele geçirdi ve saldırının giriş noktası, sıradan bir npm bağımlılık yüklemesi oldu.

11 Mayıs 2026 tarihinde, TeamPCP adlı tehdit grubu, artık Mini Shai-Hulud olarak izlenen Shai-Hulud solucan kampanyasının dördüncü dalgasını gerçekleştirdi. Saldırı, altı dakikalık bir süre içinde npm kayıt defterindeki 42 TanStack paketinde 84 kötü amaçlı paket sürümünü ele geçirdi ve sonunda Mistral AI, UiPath ve OpenSearch'e ait ad alanları da dahil olmak üzere npm ve PyPI (Python Package Index) kaynak kodu kayıt defterlerinde 170'den fazla pakete yayıldı. Etkilenen paketlerden en az biri olan @tanstack/react-router, haftada yaklaşık 12 milyon kez indiriliyor.

Bu, giderek şiddetini artıran bir kampanyanın dördüncü dalgasıdır. Önceki dalgalar arasında, ilk npm saldırısı (Shai-Hulud 1.0) ve GitHub kimlik bilgilerini hedef alan 2.0 dalgası yer almaktadır.

OpenAI bu hafta, iki çalışan cihazının ele geçirildiğini açıkladı. Kullanıcı verileri, üretim sistemleri veya fikri mülkiyet hakları bu olaydan etkilenmedi; ancak sorunun kontrol altına alınması için sistemlerin izole edilmesi, kimlik bilgilerinin yenilenmesi, harici adli bilişim uzmanlarının devreye sokulması ve tek bir bağımlılık yüklemesi nedeniyle macOS, Windows, iOS ve Android platformlarında kod imzalama sertifikalarının tamamen yenilenmesi gerekti.

• Saldırı tarihi: 11 Mayıs 2026

• Güvenliği ihlal edilen paketler: 42 @tanstack/* paketinde 84 zararlı sürüm; npm ve PyPI kayıt defterlerinde toplam 170'den fazla

• CVE: CVE-2026-45321, CVSS puanı 9,6 (Kritik)

• Kaynak: TeamPCP (PCPcat, UNC6780 olarak da bilinir)

• Mekanizma: Üç birbiriyle bağlantılı GitHub Actions güvenlik açığı – Pwn Request, önbellek zehirleme, koşucu sürecinin belleğinden OIDC (OpenID Connect) jetonu çıkarılması

• Önemli mağdur: OpenAI – iki çalışanın cihazı ele geçirildi; macOS, iOS, Windows ve Android için kod imzalama sertifikaları da dahil olmak üzere sızdırılan gizli bilgiler, şirket içi kaynak kod depolarından çalındı

• Önceki sürümler: Shai-Hulud 1.0 (Eylül 2025), 2.0 (Kasım 2025) ve 3.0 (Aralık 2025)

• Etki: Geliştirme ve CI/CD ortamlarının güvenliği ihlal edildi , bakımcı hesapları ve paketler ele geçirildi; SLSA köken bilgisi ve imzalı derlemeler artık “varsayılan olarak güvenli” değil

• Temel riskler: SLSA ( Software için Tedarik Zinciri Düzeyleri) Üçüncü Düzey Yapı Köken Doğrulamasını geçen kötü niyetli paketler

Mini Shai-Hulud Dördüncü Dalga, bu kampanyanın bugüne kadarki teknik açıdan en gelişmiş versiyonudur. Önceki dalgalar, kötü amaçlı paketleri doğrudan yayınlamak için ele geçirilmiş bakımcı hesaplarına dayanırken, Dördüncü Dalga üç GitHub Actions güvenlik açığını birbirine bağlayarak meşru sürüm yayın sürecini ele geçirdi.

Saldırı akışı:

1. Çatallama ve gizleme: Saldırgan, TanStack/router deposunu çatalladı ve GitHub’ın çatallama listesi görünümlerinde bariz bir çatallama olarak görünmemesi için adını zblgg/configuration olarak değiştirdi.
2. İş akışını tetikleme: Bir çekme isteği açıldı ve bu, iş akışına çatallanmış koda erişim izni veren "Pwn Request" şablonu olan pull_request_target iş akışını tetikledi
3. Önbelleği zehirleme: Saldırganın fork'ladığı kod, GitHub Actions önbelleğine 1,1 GB boyutunda zehirlenmiş bir pnpm-store girdisi yazdı; bu girdi, sürüm iş akışının daha sonra onu geri yükleyeceği şekilde anahtarlanmıştı
4. İzleri sil: Kötü niyetli çekme isteği daha sonra hiçbir işlem yapılmamış bir duruma zorla geçirildi ve güvenlik ihlaline dair kanıtları gizlemek amacıyla kapatıldı
5. Tetikleyiciyi bekleyin: TanStack'in yetkili bakımcıları, ana dal ile ilgisi olmayan çekme isteklerini birleştirdiğinde , sürüm iş akışı tetiklendi ve bozulmuş önbellek geri yüklendi
6. Steal the token: Attacker-controlled binaries read /proc/<pid>/mem of the Runner.Worker process to extract the OIDC token minted for npm trusted publishing
7. Yayınlama süreci üzerinden: Bu tokenlar, TanStack’in kendi meşru sürüm yayınlama süreci aracılığıyla npm kayıt defterine 84 adet kötü amaçlı paket sürümünün yayınlanmasında kullanıldı.
8. Sonuç: Meşru sürüm boru hattı tarafından üretilen, geçerli SLSA Yapım Seviyesi 3 menşe onayları, geçerli Sigstore onayları ve meşru GitHub Actions imzaları taşıyan paketler, kimlik bilgilerini çalan kötü amaçlı yazılım içeriyordu. TanStack’in olay sonrası analizinde de doğrulandığı üzere, geliştiricilerin bakış açısından bu paketler kriptografik olarak gerçek görünüyordu ve herhangi bir güvenlik ihlali belirtisi yoktu.

Gizli Bilgiler Açığa Çıktı: Kötü amaçlı yazılım yükü , ele geçirilen sistemlerde aktif olarak erişilebilir durumda olan kimlik bilgileri ve tokenler gibi gizli bilgileri üç yedekli kanal üzerinden dışarı sızdırdı: bir typosquat alan adı (git-tanstack[.]com), merkezi olmayan Session mesajlaşma ağı ve çalınan tokenler kullanılarak GitHub API kanalları. Hedef alınan kimlik bilgileri arasında GitHub jetonları, AWS, GCP ve Azure'dan alınan bulut sırları, CI/CD kimlik doğrulama materyalleri, Kubernetes kimlik bilgileri, HashiCorp Vault ve SSH anahtarları yer alıyordu.

Geliştiricilerin bilgisayarlarında, kötü amaçlı yazılım her 60 saniyede bir GitHub'ı kontrol eden kalıcı bir gh-token-monitor arka plan programı (macOS LaunchAgent veya Linux systemd aracılığıyla) yükledi. Jetonun iptal edilmesinden kaynaklanan bir 40X hatası alındığında, arka plan programı rm -rf ~/ komutunu çalıştırarak kullanıcının ana dizinini silmeye çalıştı. Arka plan programı 24 saat sonra otomatik olarak kapandı.

OpenAI'nin açıklaması, sızdırılan verilerin ne olduğu konusunda net: iki çalışan tarafından erişilebilen bir dizi dahili kaynak kodu deposundan sınırlı miktarda kimlik bilgisi, bunlara macOS, iOS, Windows ve Android ürünleri için kod imzalama sertifikaları da dahildir. OpenAI, bu sertifikaların kötü amaçlı yazılımları imzalamak için kullanıldığına dair hiçbir kanıt bulunmadığını doğruladı, ancak tedbir olarak tüm sertifikaları değiştiriyor ve macOS kullanıcılarından 12 Haziran 2026 tarihinden önce uygulamalarını güncellemelerini istiyor; bu tarihten sonra eski sertifikalarla imzalanmış uygulamalar çalışmayabilir.

OpenAI'nin açıklamasında dikkat çeken ikinci bir ayrıntı daha var. Güvenliği ihlal edilen iki cihaz, kuruluşun genelinde uygulamaya konulan ve minimum sürüm yaşı kontrolleri ile paket kaynağı doğrulaması gibi önlemleri içeren güncellenmiş paket yönetimi yapılandırmalarını henüz almamıştı. Saldırı, bu güncelleme sürecinin devam ettiği dönemde gerçekleşti.

Bu, gerçek ve yaygın bir güvenlik açığını ortaya koymaktadır. Güvenlik kontrolleri aşamalı olarak devreye alınır. Herhangi bir aşamalı uygulamada, sistemlerin bir kısmı daha fazla riske maruz kalır. TeamPCP'nin saldırısı haftalarca kesintisiz sürdü; kötü amaçlı paketler kayıt defterlerine yerleştirildi ve bunların yüklenmesini bekledi. Bu zamanlama tesadüf değildi.

Mini Shai-Hulud güvenlik açığı süresince etkilenen paketleri yüklemiş olabilecek tüm kuruluşlar için:

1. Jetonları iptal etmeden önce gh-token-monitor arka plan programını kontrol edin: önce etkilenen sistemleri izole edin ve yedekleyin; erken iptal, silme yükünü tetikler.
2. Açığa çıkan gizli bilgileri değiştirin: Etkilenen zaman aralığında paket yüklemiş olan tüm geliştiriciler veya iş akışları için GitHub PAT’leri, npm jetonları, SSH anahtarları ve bulut kimlik bilgilerini; ayrıca çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.
3. Güvenliği ihlal edilmiş paketleri kaldırın: npm önbelleğini ve node_modules dizinini temizleyin; paket sürümlerini 12 Mayıs 2026'dan sonra yayınlanan sürümlerle sabitleyin.
4. GitHub Actions ve CI/CD iş akışlarını denetleyin: Beklenmedik yayınlama olaylarını, yeni iş akışlarını veya tanıdık olmayan uç noktalara yapılan giden bağlantıları kontrol edin.
5. Boru hatlarını güçlendirin: yaşam döngüsü komut dosyalarını kısıtlayın, giden ağ erişimini sınırlayın ve token kapsamını en aza indirin.
6. Kaynak doğrulama işlemlerini içerik incelemesiyle birleştirin: Geçerli bir kaynak bilgisi, iş akışının kaynağını gösterir, iş akışının bütünlüğünü değil; sertifika doğrulamasının yanı sıra kötü amaçlı yazılım taraması da yapın.