Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: 40 npm Paketi, bundle.js ile Kimlik Bilgilerini Çalmada Tehdit Altında
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » 40 npm Paketi, bundle.js ile Kimlik Bilgilerini Çalmada Tehdit Altında

Siber Güvenlik

40 npm Paketi, bundle.js ile Kimlik Bilgilerini Çalmada Tehdit Altında

teknomers
Son güncelleme: 16 Eylül 2025 09:04
teknomers
Paylaş
Paylaş

Yazılım Tedarik Zinciri Saldırıları ve Güvenlik Açıkları

Son dönemlerde siber güvenlik uzmanları, npm kayıt defterinde yeni bir yazılım tedarik zinciri saldırısının tespit edildiğini duyurdu. Bu saldırı, 40’tan fazla paketi etkileyerek, birçok geliştiricinin sistemlerini tehdit altına alıyor. Özellikle, Socket adlı güvenlik şirketine göre, saldırının temel amacı, geliştiricilere ait bilgileri ele geçirmek olarak tanımlanıyor.

Contents
  • Yazılım Tedarik Zinciri Saldırıları ve Güvenlik Açıkları
  • Hedef Alınan Paketler
  • Saldırının Çalışma Mekanizması
  • Geliştiricilere Tavsiyeler
  • Rust Platformundaki Phishing Tehditleri
  • Sonuç Olarak

Hedef Alınan Paketler

Yapılan araştırmalar sonucunda saldırıda etkilenen bazı paketler şunlardır:

  • [email protected]
  • @ctrl/[email protected]
  • @ctrl/[email protected]
  • @ctrl/[email protected]
  • @nativescript-community/[email protected]
  • [email protected]

Bu paketler, yazılım geliştirme süreci içinde sıkça kullanılan araçlar arasındadır ve birçok projede yer almaktadır.

Saldırının Çalışma Mekanizması

Saldırının özünde, NpmModule.updatePackage fonksiyonunun yer aldığı kötü amaçlı bir JavaScript kodu (bundle.js) bulunmaktadır. Bu kod, paketi indirip, package.json dosyasını değiştirerek, yeni bir yerel script ile tekrar paketleyip yayımlamaktadır. Bu süreçte, malware (zararlı yazılım) otomatik olarak aşağıdaki pakete entegre edilmektedir.

Saldırının nihai hedefi, geliştiricilerin makinelerinde yer alan gizli bilgileri incelemek ve bunları saldırganın kontrolündeki bir dış sunucuya iletmektir. Saldırı, hem Windows hem de Linux sistemleri hedef alabilmektedir.

Geliştiricilere Tavsiyeler

Bu saldırının önlenmesi adına, geliştiricilerin sistemlerini düzenli olarak denetlemesi ve etkilenmiş paketleri kullanmaktan kaçınması gerekmektedir. Özellikle npm token’ları ve diğer hassas bilgilerin değiştirilmesi, şu anda önemli bir önlem olarak öne çıkmaktadır. Socket firmasının belirttiğine göre, kötü amaçlı script, geliştiricinin GitHub kişisel erişim token’larını kullanarak, GitHub Actions iş akışı oluşturmakta ve gizli bilgileri elle geçirip dışarıya sızdırmaktadır.

Bu nedenle geliştiricilerin, .github/workflows dizininde kayıtlı olan iş akışlarını kontrol etmesi gerekmektedir. Bir kez taahhüt edilen bu iş akışları, gelecekteki sürekli entegrasyon (CI) süreçlerinde de hassas verilerin dışarıya aktarılmasına neden olabilir.

Rust Platformundaki Phishing Tehditleri

Aynı dönemde, Rust Güvenlik Yanıt Çalışma Grubu, crates.io kullanıcılarını hedef alan bir phishing saldırısı konusunda uyarılarda bulundu. Bu saldırı, kullanıcıların güvenlik bilgilerini çalmayı amaçlayan sahte e-postalar aracılığıyla gerçekleştirilmektedir. rustfoundation.dev alan adından gönderilen bu e-postalar, kullanıcılara bir bağlantıya tıklamaları için uyarılarda bulunarak, şifrelerini değiştirmelerini öneriyor.

Bu bağlantı, kullanıcılara bazı yetkilere erişim sağlayarak, GitHub bilgilerinin ele geçirilmesine yönelik bir girişimdir. Rust ekibi, bu tür saldırılara karşı önlemler alarak, sahte alan adının kapatılması için çalışmalar yapmaktadır.

Sonuç Olarak

Geliştiriciler, yazılımlarında kullandıkları paketlerin güvenliğini sağlamak için sürekli güncelleme ve denetleme yapmalıdır. Siber güvenlik alanındaki bu tür saldırıların artması, dikkatli olmayı ve bilgi güvenliğini sağlamayı zorunlu hale getirmektedir. Bu bağlamda, hem bireysel geliştiriciler hem de şirketler, güvenlik açıklarını minimize etmek için proaktif önlemler almalıdır.

Güncel Siber Güvenlik Haberleri – 1

Acil: Anthropic’ten AI Destekli Güvenlik Tarayıcı Çıkışı!
Hiçbir Şey Telefon 3A Pro’nun Temel Anahtarının Notlar, Ekran görüntüleri saklamak için AI ile çalışan bir merkez olduğu bildirildi
Sıfır Tıklama GenAI Solucanı Kötü Amaçlı Yazılımları ve Zehirlenme Modellerini Yayıyor
Kritik: ClickFix Kampanyaları ile Tehlikeli Zararlı Yazılım Yayılıyor
Acil: Avrupa Komisyonu, Amazon bulut hack’ini araştırıyor!
ETİKETLENDİ:AltındaBilgilerinibundle.jsçalmadaComputer securitycyber attackscyber newscyber security newscyber security news todaycyber security updatescyber updatesdata breachhacker newshacking newshow to hackileinformation securityKimliknetwork securityNpmpaketiransomware malwaresoftware vulnerabilityTehditthe hacker news
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Justin Bieber, Sabrina Carpenter ve Karol G, 2026 Coachella Festivali’nde sahne alacak.
Sonraki Makale Borderlands 4 patronu, “4K inatçı” dedi; performans sorunlarını yalanladı.

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Gelecek Nesil Konsol Gecikmesi Witcher 3 İçin Avantaj Olabilir
Oyun
Ukrayna, 12 saatlik uçuşla 2,500 km’lik rekor drone saldırısı düzenledi
Donanım
OpenAI Çalışanları, Patronlarına Karşı Rakip Süper PAC Finanse Ediyor!
Genel
Kritik Uyarı: Bazı Dell PC’ler Windows Güncellemeleriyle Kapanıyor!
Siber Güvenlik
Acil: ABD, Rusya’nın Güvenli Hosting Operatörlerine İhtiyaç Duyuyor!
Siber Güvenlik
Laravel (Blade/Livewire/React) için bir GDPR çerez onay paketi oluşturuldu — geri bildirim bekleniyor
Yazılım
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?