Siber Güvenlik

Acil: Geliştirici Sırlarını Çalan 5 Kötü Amaçlı Rust Kütüphanesi

teknomers
teknomers

Giriş

Siber güvenlik araştırmacıları, zaman ile ilgili araçlar olarak gözüküp kötü niyetli veri sızıntıları gerçekleştiren beş Rust paketini keşfetti. Bu durum, yazılımcıların gizli bilgilerini hedef alan siber saldırıların artışına dikkat çekiyor.

Contents

Saldırı Nasıl Çalışıyor?

Keşfedilen Rust paketleri, crates.io platformunda yer alıyor ve aşağıdaki isimlerle listeleniyor:

  • chrono_anchor
  • dnp3times
  • time_calibrator
  • time_calibrators
  • time-sync

Bu paketler, timeapi.io adresini taklit ediyor ve Şubat sonu ile Mart 2026 arasında yayımlandı. Tek bir tehdit aktörüne ait olduğu değerlendirilen söz konusu paketler, veri sızdırma yöntemlerinde benzerlik gösteriyor ve “timeapis[.]io” alan adını kullanarak çalınan verileri saklıyor.

Güvenlik araştırmacısı Kirill Boychenko, “Paketler yerel zaman araçları olarak görünse de, aslında kimlik bilgilerini ve gizli verileri çalma amacı güdüyor” dedi. Paketlerin, özellikle .env dosyalarını hedef alarak hassas bilgileri topladığı ve bu bilgileri tehdit aktörlerinin kontrolündeki altyapıya ilettiği belirtiliyor.

Etkilenen Sistemler

Bu paketlerden dördü .env dosyalarını sızdırma konusunda oldukça basit bir yeteneğe sahipken, chrono_anchor isimli paket daha ileri bir adım atarak gizlileştirme ve işletim değişiklikleri uygulayarak tespiti önlemeye çalışıyor. Chrono_anchor, “guard.rs” adlı bir dosya içerisinde veri sızıntısı kodunu bulunduruyor ve bu fonksiyon, geliştiricilerin şüphelerini artırmamak adına bir “opsiyonel senkronizasyon” yardımcı fonksiyonu üzerinden çağrılıyor.

Bu kötü amaçlı kod, bir Sürekli Entegrasyon (CI) iş akışı geliştiricisi tarafından çağrıldığında sürekli olarak .env sırlarını sızdırmayı deniyor. .env dosyaları genellikle API anahtarları, tokenlar ve diğer gizli bilgileri tuttuğundan, bu dosyaların hedef alınması tesadüf değil.

Çözüm ve Korunma

Paketler crates.io platformundan kaldırıldı, ancak bu paketleri yanlışlıkla indiren kullanıcıların şu adımları atması öneriliyor:

  • Olası bir veri sızıntısı durumunda, anahtarları ve tokenları değiştirmek.
  • Yayın veya dağıtım kimlik bilgileriyle çalışan CI/CD işlemlerini denetlemek.
  • Mümkünse dışa açık ağ erişimini sınırlamak.

Socket araştırma şirketi, “Bu kampanya, düşük karmaşıklıkta tedarik zinciri kötü amaçlı yazılımlarının geliştirici çalışma alanlarında ve CI işlerinde yüksek etkiye ulaşabileceğini gösteriyor” ifadelerine yer verdi. Kötü niyetli bağımlılıkları çalıştırmadan durdurmaya yönelik önlemlerin öncelikli olarak alınması öneriliyor.

AI Destekli Botlar GitHub Actions’ı Sıcak Hedef Haline Getirdi

Ayrıca, yapay zeka destekli bir bot olan hackerbot-claw’ın, büyük açık kaynak kodlu havuzlarında CI/CD süreçlerini hedef alan otomatik bir saldırı kampanyası yürüttüğü keşfedildi. Bu kampanya, Şubat 2026 arasında Microsoft, Datadog ve Aqua Security gibi firmalara ait en az yedi havuzu hedef aldı.

Saldırı süreci şu şekilde ilerliyor:

  • Açık havuzları hatalı yapılandırılmış CI/CD iş akışları için taramak.
  • Hedef havuzu fork’lamak ve kötü niyetli bir yük oluşturmak.
  • Basit bir değişiklik (örneğin, yazım hatası düzeltmesi) ile bir çekme talebi açmak ve ana yükü gizlemek.
  • Her çekme talebinde iş akışlarının otomatik olarak etkinleşmesinden faydalanarak CI iş akışını tetiklemek.
  • Sırları ve erişim tokenlarını çalmak.

Bu saldırının en dikkat çeken hedeflerinden biri, bilinen zafiyetleri, yanlış yapılandırmaları ve gizli bilgileri arayan Aqua Security’nin popüler güvenlik tarayıcısı trivy oldu.

Aqua Security, “Hackerbot-claw, bir pull_request_target iş akışını kullanarak bir Kişisel Erişim Token’ı (PAT) çaldı” şeklinde açıklama yaptı.

Çalınan kimlik bilgileri, havuzun ele geçirilmesine yol açtı ve kötü niyetli logic, Trivy’nin Visual Studio Code (VS Code) uzantısının Open VSX pazarına kötü niyetli bir sürümünü yüklemeye yaradı.

Kullanıcılar, yüklü uzantıları derhal kaldırmalı, beklenmeyen havuzlar olup olmadığını kontrol etmeli ve ortam sırlarını değiştirmelidir. Saldırı, CVE-2026-28353 kimliği altında izlenmektedir.

Sonuç

Bu keşifler, siber güvenlik alanında sürekli bir teyakkuzun gerekliliğini ortaya koymaktadır. Geliştiricilerin, kullandıkları araçların güvenliğini sürekli gündemde tutmaları, özellikle dış kaynaklardan gelen bağımlılıkları dikkatlice incelemeleri büyük önem taşımaktadır. Geliştiricilerin güncellemeleri, port kapatma ve güvenli yazılım geliştirme uygulamalarına odaklanmaları gerektiğini unutmayın.

Ukraynalı hacker, Rus hacktivist gruplara yardım etmekten suçlandı
Küba Fidye Yazılımı 100’den Fazla Kuruluştan 60 Milyon Doların Üzerinde Fidye Ücreti Aldı
İngiliz yatırımcılar 2016’dan bu yana en kötü dönemde hisse senedi fonlarından 2.35 milyar sterlin çekti
Rus Hackerlar Oltalama Saldırıları Yoluyla Ukraynalıları ve Avrupalı ​​Müttefikleri Hedefliyor
Jscrambler, PCI DSS 4.0 Uyumluluğu için JavaScript Tarayıcıyı Başlattı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale DRY ve RUG — Tekrar Eden Kodun Gerçekten Daha İyi Tasarım Olduğu Durumlar
Sonraki Makale Anduril Büyük Bir Adım Attı: Uzay Gözetim Alanında Yeni Bir Kazanım

Sanal Medya

Son Eklenenler

GOG Nazi Sembolleriyle İlgili E-Posta Göndermek Üzere Özür Diledi
Liste
En İyi 3 Güvenilir Chime Hesap Sağlayıcısı
Yazılım
2TB PCIe 4.0 SSD, 750W PSU ve 240mm AIO ile 300$’a PC Yükseltin
Donanım
WWDC 2026’da Bizi Neler Bekliyor: Siri Yeniden Doğuyor ve Apple Akıllı Güncellemeleri
Genel
Hikaye Dolu Oyunlarla Dolu İlk Etkinlik Heyecan Yarattı
Liste
Final Fantasy 7 Yeniliklerinde Sephiroth’a Beklenmedik Dokunuş
Oyun