Yazılım Tedarik Zinciri Saldırıları ve NPM Paketleri Üzerine Tehditler
Son dönemde siber güvenlik araştırmacıları, popüler npm paketleri üzerinde yapılan yeni bir tedarik zinciri saldırısını ortaya çıkardı. Bu saldırı, proje yöneticilerinin npm token’larını çalmak amacıyla gerçekleştirilen bir oltalama kampanyası ile ilişkilendirilmektedir. Elde edilen token’ların kullanılması, kötü niyetli paketlerin doğrudan npm kayıt defterine yüklenmesine olanak tanımıştır. Bu durum, yazılım geliştiricileri ve projelerin güvenliği açısından ciddi tehditler oluşturmaktadır.
Dolandırıcılık Usulü ve Hedef Alınan Paketler
Socket isimli yazılım güvenliği firması, saldırıya uğrayan paketlerin ve kötü amaçlı versiyonlarının listesini yayımlamıştır. Etkilenen bazı paketler şunlardır:
- eslint-config-prettier (versiyonlar: 8.10.1, 9.1.1, 10.1.6, 10.1.7)
- eslint-plugin-prettier (versiyonlar: 4.2.2 ve 4.2.3)
- synckit (versiyon: 0.11.9)
- @pkgr/core (versiyon: 0.2.8)
- napi-postinstall (versiyon: 0.3.1)
Bu paketlere eklenmiş kötü niyetli kodlar, Windows makinelerinde bir DLL dosyasını çalıştırmaya çalışarak uzaktan kod yürütme imkanı sunmaktadır. Bu tür siber tehditler, yalnızca bireysel geliştiricileri değil, aynı zamanda tüm ekosistemi tehdit eden geniş çaplı sorunlara dönüşebilir.
Kimlik Avı ve Oltalama Stratejileri
Bu olayın arka planında, npm’i taklit eden bir e-posta kampanyasının yattığı belirtiliyor. Bu e-postalar, proje yöneticilerini “npnjs[.]com” gibi sahte bir linke tıklamaya ikna ederek, kredilerini çalmak amacı gütmektedir. E-postaların konu satırında “Lütfen e-posta adresinizi doğrulayın” mesajı bulunmaktadır. Legitim bir npm e-posta adresini taklit eden bu dijital iletiler, alıcıları sahte bir açılış sayfasına yönlendirerek, login bilgilerini toplamak üzere tasarlanmıştır.
Bu tür dolandırıcılıkları önlemek için, geliştiricilerin kurulu versiyonları karşılaştırmaları ve güvenli bir versiyona geri dönmeleri önerilmektedir. Proje yöneticilerinin ise hesaplarını korumak amacıyla iki faktörlü kimlik doğrulamayı etkinleştirmeleri ve paketleri yayımlamak için şifre yerine ölçeklendirilmiş token kullanmaları önemlidir. Socket firması, bu olayın proje yöneticilerine yönelik oltalama saldırılarının hızla ekosistem genelinde tehditlere dönüşebileceğini vurgulamaktadır.
Protesto Yazılımı ve Manipülasyonlar
Bu olaylar, varsayımsal olarak bağımsız bir kampanya ile de örtüşmektedir. NPM, kullanıcıların Rusça veya Beyaz Rusça alan adlarına sahip web sitelerinde fare tabanlı etkileşimi devre dışı bırakabilen 28 paketle inundasyonu endişesi taşımaktadır. Ayrıca, bu yazılımlar Ukrayna milli marşını döngüsel olarak çalmaktadır. Ancak bu saldırı yalnızca tarayıcı dili Rusça ayarlanmış ziyaretçilere çalışmakta ve bazen aynı web sitesinin bir kez daha ziyaret edilmesi gerektiği belirtilmektedir. Bu, yalnızca tekrar eden ziyaretçileri hedef almayı amaçlamaktadır. Güvenlik araştırmacısı Olivia Brown, geliştiricilerin aldıkları eylemlerin, gözden kaçacak şekilde iç içe geçmiş bağımlılıklarda yayılabileceği ve günler veya haftalar sürerek kendini gösterebileceğini ifade etmiştir.
Arch Linux ve Zararlı Paketler
Son dönemlerde, Arch Linux ekibi, kullanıcıların sistemlerine Chaos RAT isimli bir uzaktan erişim trojanı yükleyen üç zararlı AUR (Arch User Repository) paketini kaldırdıklarını duyurdu. Bu paketler, librewolf-fix-bin, firefox-patch-bin ve zen-browser-patched-bin olarak adlandırılmaktadır. 16 Temmuz 2025’te danikpapas adlı bir kullanıcı tarafından yüklenmiştir. Arch Linux yetkilileri, bu paketlerin bir GitHub deposu aracılığıyla uzaktan erişim trojanı yüklediğini belirtmekte ve bu paketleri yükleyen kullanıcıların, sistemlerini temizlemeleri ve olası bir saldırıdan korunmaları için gerekli önlemleri almalarını tavsiye etmektedir.
Bu tür saldırıların artması, yazılım geliştirme topluluğunun güvenliğini büyük ölçüde tehdit etmektedir. Yazılımcıların ve proje yöneticilerinin dikkatli olmaları ve güvenlik önlemlerini almaları şarttır. Tedarik zinciri güvenliğine dair alınacak önlemler, hem bireysel hem de kurumsal düzeyde büyük bir öneme sahiptir.
