Giriş
Checkmarx, yaşanan bir tedarik zinciri güvenliği olayının siber suçlular tarafından karanlık webde yayımlanan istihbarat verileri ile sonuçlandığını açıkladı. Bu durum, yazılım geliştirme süreçlerinde tedarik zinciri güvenliğinin önemini bir kez daha gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Checkmarx’tan yapılan açıklamaya göre, siber saldırı 23 Mart 2026 tarihinde gerçekleşmiş ve bu saldırıyla birlikte şirketin GitHub deposuna yetkisiz erişim sağlanmıştır. Söz konusu verilerin, Checkmarx’ın GitHub deposundan kaynaklandığı düşünülmektedir. Şirket, bu depo ile müşteri üretim ortamı arasında ayrı bir bakım yapıldığını ve müşteri verilerinin bu depoda tutulmadığını belirtmiştir.
Karanlık webde yayımlanan verilerin aşağıdaki bilgileri içerdiği bildirilmektedir:
- Kaynak kodu
- Çalışan veri tabanı
- API anahtarları
- MongoDB/MySQL kimlik bilgileri
Etkilenen Sistemler
Checkmarx, bu olayın ardından, etkilenen GitHub deposuna erişimi kapatmış ve mevcut durumu incelemeye devam etmektedir. TeamPCP adlı tehdit aktörünün, ayrıca Checkmarx’ın KICS Docker imajını ve iki VS Code eklentisini de tehlikeye attığına dair iddialar bulunmaktadır. Bu olay, Bitwarden CLI npm paketinin geçici olarak tehlikeye girmesine yol açmıştır.
Çözüm ve Korunma
Checkmarx, olayın kapsamını belirlemek için çalışmalarını sürdürmekte ve eğer müşteri bilgileri etkilenmişse, müşterilere ve ilgili taraflara derhal bildirimde bulunacağını açıklamıştır. Aşağıdaki önlemler alınmalıdır:
- GitHub depolarının erişim haklarını gözden geçirin ve gerektiğinde kısıtlayın.
- Her türlü güvenlik güncellemelerini ve yamaları uygulayın.
- Depolarınızdaki gizli anahtarları ve kimlik bilgilerini düzenli olarak kontrol edin.
- Siber güvenlik izleme sistemlerinizi güncel tutun.
Sonuç
Bu tür tehditlerle karşılaşmamak için hemen gerekli önlemleri alın. Yazılım güncellemelerini ve yamanızı yaparak sistemlerinizi güvenli hale getirin. Gereksiz erişim izinlerini kaldırın ve güvenlik denetimlerinizi sıklaştırın. Unutmayın, en iyi savunma her zaman proaktif bir yaklaşımdır.
