Siber Güvenlik

Acil: Geliştirici Sırlarını Çalan 5 Kötü Amaçlı Rust Kütüphanesi

teknomers
teknomers

Giriş

Siber güvenlik araştırmacıları, zaman ile ilgili araçlar olarak gözüküp kötü niyetli veri sızıntıları gerçekleştiren beş Rust paketini keşfetti. Bu durum, yazılımcıların gizli bilgilerini hedef alan siber saldırıların artışına dikkat çekiyor.

Contents

Saldırı Nasıl Çalışıyor?

Keşfedilen Rust paketleri, crates.io platformunda yer alıyor ve aşağıdaki isimlerle listeleniyor:

  • chrono_anchor
  • dnp3times
  • time_calibrator
  • time_calibrators
  • time-sync

Bu paketler, timeapi.io adresini taklit ediyor ve Şubat sonu ile Mart 2026 arasında yayımlandı. Tek bir tehdit aktörüne ait olduğu değerlendirilen söz konusu paketler, veri sızdırma yöntemlerinde benzerlik gösteriyor ve “timeapis[.]io” alan adını kullanarak çalınan verileri saklıyor.

Güvenlik araştırmacısı Kirill Boychenko, “Paketler yerel zaman araçları olarak görünse de, aslında kimlik bilgilerini ve gizli verileri çalma amacı güdüyor” dedi. Paketlerin, özellikle .env dosyalarını hedef alarak hassas bilgileri topladığı ve bu bilgileri tehdit aktörlerinin kontrolündeki altyapıya ilettiği belirtiliyor.

Etkilenen Sistemler

Bu paketlerden dördü .env dosyalarını sızdırma konusunda oldukça basit bir yeteneğe sahipken, chrono_anchor isimli paket daha ileri bir adım atarak gizlileştirme ve işletim değişiklikleri uygulayarak tespiti önlemeye çalışıyor. Chrono_anchor, “guard.rs” adlı bir dosya içerisinde veri sızıntısı kodunu bulunduruyor ve bu fonksiyon, geliştiricilerin şüphelerini artırmamak adına bir “opsiyonel senkronizasyon” yardımcı fonksiyonu üzerinden çağrılıyor.

Bu kötü amaçlı kod, bir Sürekli Entegrasyon (CI) iş akışı geliştiricisi tarafından çağrıldığında sürekli olarak .env sırlarını sızdırmayı deniyor. .env dosyaları genellikle API anahtarları, tokenlar ve diğer gizli bilgileri tuttuğundan, bu dosyaların hedef alınması tesadüf değil.

Çözüm ve Korunma

Paketler crates.io platformundan kaldırıldı, ancak bu paketleri yanlışlıkla indiren kullanıcıların şu adımları atması öneriliyor:

  • Olası bir veri sızıntısı durumunda, anahtarları ve tokenları değiştirmek.
  • Yayın veya dağıtım kimlik bilgileriyle çalışan CI/CD işlemlerini denetlemek.
  • Mümkünse dışa açık ağ erişimini sınırlamak.

Socket araştırma şirketi, “Bu kampanya, düşük karmaşıklıkta tedarik zinciri kötü amaçlı yazılımlarının geliştirici çalışma alanlarında ve CI işlerinde yüksek etkiye ulaşabileceğini gösteriyor” ifadelerine yer verdi. Kötü niyetli bağımlılıkları çalıştırmadan durdurmaya yönelik önlemlerin öncelikli olarak alınması öneriliyor.

AI Destekli Botlar GitHub Actions’ı Sıcak Hedef Haline Getirdi

Ayrıca, yapay zeka destekli bir bot olan hackerbot-claw’ın, büyük açık kaynak kodlu havuzlarında CI/CD süreçlerini hedef alan otomatik bir saldırı kampanyası yürüttüğü keşfedildi. Bu kampanya, Şubat 2026 arasında Microsoft, Datadog ve Aqua Security gibi firmalara ait en az yedi havuzu hedef aldı.

Saldırı süreci şu şekilde ilerliyor:

  • Açık havuzları hatalı yapılandırılmış CI/CD iş akışları için taramak.
  • Hedef havuzu fork’lamak ve kötü niyetli bir yük oluşturmak.
  • Basit bir değişiklik (örneğin, yazım hatası düzeltmesi) ile bir çekme talebi açmak ve ana yükü gizlemek.
  • Her çekme talebinde iş akışlarının otomatik olarak etkinleşmesinden faydalanarak CI iş akışını tetiklemek.
  • Sırları ve erişim tokenlarını çalmak.

Bu saldırının en dikkat çeken hedeflerinden biri, bilinen zafiyetleri, yanlış yapılandırmaları ve gizli bilgileri arayan Aqua Security’nin popüler güvenlik tarayıcısı trivy oldu.

Aqua Security, “Hackerbot-claw, bir pull_request_target iş akışını kullanarak bir Kişisel Erişim Token’ı (PAT) çaldı” şeklinde açıklama yaptı.

Çalınan kimlik bilgileri, havuzun ele geçirilmesine yol açtı ve kötü niyetli logic, Trivy’nin Visual Studio Code (VS Code) uzantısının Open VSX pazarına kötü niyetli bir sürümünü yüklemeye yaradı.

Kullanıcılar, yüklü uzantıları derhal kaldırmalı, beklenmeyen havuzlar olup olmadığını kontrol etmeli ve ortam sırlarını değiştirmelidir. Saldırı, CVE-2026-28353 kimliği altında izlenmektedir.

Sonuç

Bu keşifler, siber güvenlik alanında sürekli bir teyakkuzun gerekliliğini ortaya koymaktadır. Geliştiricilerin, kullandıkları araçların güvenliğini sürekli gündemde tutmaları, özellikle dış kaynaklardan gelen bağımlılıkları dikkatlice incelemeleri büyük önem taşımaktadır. Geliştiricilerin güncellemeleri, port kapatma ve güvenli yazılım geliştirme uygulamalarına odaklanmaları gerektiğini unutmayın.

Sadece 40. sırada mı? DxOMark testlerine göre amiral gemisi akıllı telefon iPhone 16’nın ekranı, daha ucuz olan Samsung Galaxy A35 5G ve Google Pixel 8a’nın ekranından daha kötü çıktı
Garrett Geçişli Metal Dedektörleri Uzaktan Hacklenebilir
Yapay Zeka Çağında Deepfake Savunması
MITRE Engenuity, Güvenlik Hizmeti Sağlayıcıları İçin Değerlendirmelere Başlıyor
Wing FTP Sunucu Açığı (CVE-2025-47812) Aktif Olarak Kullanılıyor.
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale DRY ve RUG — Tekrar Eden Kodun Gerçekten Daha İyi Tasarım Olduğu Durumlar
Sonraki Makale Anduril Büyük Bir Adım Attı: Uzay Gözetim Alanında Yeni Bir Kazanım

Sanal Medya

Son Eklenenler

Blasphemous 2 İçin Ücretsiz Heyecan Verici Yeni Genişleme Geldi
Oyun
Büyüleyici Kardeş: Vampire Survivors’a Eklenen Yeni DLC ile Yenilikler Kapıda
Oyun
Laravel ile 3 Satır Kodla WhatsApp Mesajı Gönderin
Yazılım
AION 2’nin Çıkış Tarihi Yaz Oyun Festivali’nde Duyuruldu
Oyun
OpenAI Hassas Verileri Koruma İçin Lockdown Modunu Tanıttı
Genel
RAM fiyatları yıl sonuna kadar iki katına çıkacak, indirimler eski stokları eritmekten kaynaklanıyor
Donanım