Giriş
Son dönemde, siber tehdit aktörleri, sağlamlaştırılmış bulut altyapılarında bile açık bulmayı başarmaktadır. Özellikle UNC6426 tarafından gerçekleştirilen son saldırı, tedarik zinciri ihlalleriyle başlayan karmaşık bir veri ihlali sürecini gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Saldırı, bir geliştiricinin GitHub token’ının çalınmasıyla başlamıştır. Bu token kullanılarak, siber tehdit aktörü bulut ortamına yetkisiz erişim sağlamış ve verileri çalmıştır. Google, Cloud Threat Horizons Raporu’nda bu durumu şöyle özetlemektedir: “Tehdit aktörü, GitHub ile AWS OpenID Connect (OIDC) güvenini kötüye kullanarak bulut ortamında yeni bir yönetici rolü oluşturdu.”
CVE-2025-XXXXX kodu altında kaydedilen olayda, saldırganlar AWS’den önemli verileri dışarı sarkıtma (exfiltration) ve üretim bulut ortamlarda veri silme işlemi gerçekleştirmiştir.
Etkilenen Sistemler
Saldırı, Ağustos 2025’te nx npm paketine yönelik tedarik zinciri saldırısı ile başlamıştır.
- nx npm paketi: Zayıf bir pull_request_target iş akışının istismarıyla hedef alınmıştır.
- GitHub: Bu platformdan çalınan kimlik bilgileri kullanılarak AWS’ye erişim sağlanmıştır.
- AWS: Saldırıda Amazon Web Services kaynakları hedeflenmiştir, özellikle S3 ve EC2.
Saldırganlar, çalıntı GitHub Personal Access Token’ları kullanarak CI/CD ortamlarından gizli bilgileri çıkarmış ve AWS güvenlik belirteçleri oluşturmuştur. Bulut ortamında aşırı ayrıcalıklara sahip hizmet hesapları oluşturmak için bu güvenlik belirteçlerini kullanmışlardır.
Çözüm ve Korunma
Bu tür tehditlere karşı alınabilecek önlemler arasında şunlar bulunmaktadır:
- Paket yöneticilerini postinstall betiklerini engelleyici özellikleriyle kullanmak.
- CI/CD hizmet hesapları ve OIDC ile bağlantılı roller için en az ayrıcalık ilkesini (PoLP) uygulamak.
- Kısa süreli geçerlilik süreleri ve belirli depo izinleri ile ayrıntılı PAT’ler uygulamak.
- Yönetici rolleri oluşturmak gibi yüksek riskli eylemler için sabit ayrıcalıkları kaldırmak.
- İstisnai IAM etkinliklerini izlemek ve Shadow AI risklerini tespit etmek için güçlü kontroller uygulanmak.
Bu olay, bir AI destekli tedarik zinciri istismarı örneği olarak değerlendirilebilir ve AI yardımcılarının geliştirici iş akışlarına entegrasyonlarının saldırı yüzeyini nasıl genişlettiğine dikkat çekmektedir.
Sonuç
Tedarik zinciri saldırılarının arttığı bu dönemde, sistemlerinizi mümkün olan en kısa sürede güncelleyerek güvenlik önlemlerini artırmalısınız. Kullanmadığınız veya yüksek risk taşıyan portları kapatmak ve kullanıcı izinlerini düzenlemek, siber saldırılara karşı alabileceğiniz önemli adımlardandır. Bu tür önlemlerle, benzer saldırılardan korunma olasılığınız artacaktır.
