Siber Güvenlik

Acil: Geliştirici Sırlarını Çalan 5 Kötü Amaçlı Rust Kütüphanesi

teknomers
teknomers

Giriş

Siber güvenlik araştırmacıları, zaman ile ilgili araçlar olarak gözüküp kötü niyetli veri sızıntıları gerçekleştiren beş Rust paketini keşfetti. Bu durum, yazılımcıların gizli bilgilerini hedef alan siber saldırıların artışına dikkat çekiyor.

Contents

Saldırı Nasıl Çalışıyor?

Keşfedilen Rust paketleri, crates.io platformunda yer alıyor ve aşağıdaki isimlerle listeleniyor:

  • chrono_anchor
  • dnp3times
  • time_calibrator
  • time_calibrators
  • time-sync

Bu paketler, timeapi.io adresini taklit ediyor ve Şubat sonu ile Mart 2026 arasında yayımlandı. Tek bir tehdit aktörüne ait olduğu değerlendirilen söz konusu paketler, veri sızdırma yöntemlerinde benzerlik gösteriyor ve “timeapis[.]io” alan adını kullanarak çalınan verileri saklıyor.

Güvenlik araştırmacısı Kirill Boychenko, “Paketler yerel zaman araçları olarak görünse de, aslında kimlik bilgilerini ve gizli verileri çalma amacı güdüyor” dedi. Paketlerin, özellikle .env dosyalarını hedef alarak hassas bilgileri topladığı ve bu bilgileri tehdit aktörlerinin kontrolündeki altyapıya ilettiği belirtiliyor.

Etkilenen Sistemler

Bu paketlerden dördü .env dosyalarını sızdırma konusunda oldukça basit bir yeteneğe sahipken, chrono_anchor isimli paket daha ileri bir adım atarak gizlileştirme ve işletim değişiklikleri uygulayarak tespiti önlemeye çalışıyor. Chrono_anchor, “guard.rs” adlı bir dosya içerisinde veri sızıntısı kodunu bulunduruyor ve bu fonksiyon, geliştiricilerin şüphelerini artırmamak adına bir “opsiyonel senkronizasyon” yardımcı fonksiyonu üzerinden çağrılıyor.

Bu kötü amaçlı kod, bir Sürekli Entegrasyon (CI) iş akışı geliştiricisi tarafından çağrıldığında sürekli olarak .env sırlarını sızdırmayı deniyor. .env dosyaları genellikle API anahtarları, tokenlar ve diğer gizli bilgileri tuttuğundan, bu dosyaların hedef alınması tesadüf değil.

Çözüm ve Korunma

Paketler crates.io platformundan kaldırıldı, ancak bu paketleri yanlışlıkla indiren kullanıcıların şu adımları atması öneriliyor:

  • Olası bir veri sızıntısı durumunda, anahtarları ve tokenları değiştirmek.
  • Yayın veya dağıtım kimlik bilgileriyle çalışan CI/CD işlemlerini denetlemek.
  • Mümkünse dışa açık ağ erişimini sınırlamak.

Socket araştırma şirketi, “Bu kampanya, düşük karmaşıklıkta tedarik zinciri kötü amaçlı yazılımlarının geliştirici çalışma alanlarında ve CI işlerinde yüksek etkiye ulaşabileceğini gösteriyor” ifadelerine yer verdi. Kötü niyetli bağımlılıkları çalıştırmadan durdurmaya yönelik önlemlerin öncelikli olarak alınması öneriliyor.

AI Destekli Botlar GitHub Actions’ı Sıcak Hedef Haline Getirdi

Ayrıca, yapay zeka destekli bir bot olan hackerbot-claw’ın, büyük açık kaynak kodlu havuzlarında CI/CD süreçlerini hedef alan otomatik bir saldırı kampanyası yürüttüğü keşfedildi. Bu kampanya, Şubat 2026 arasında Microsoft, Datadog ve Aqua Security gibi firmalara ait en az yedi havuzu hedef aldı.

Saldırı süreci şu şekilde ilerliyor:

  • Açık havuzları hatalı yapılandırılmış CI/CD iş akışları için taramak.
  • Hedef havuzu fork’lamak ve kötü niyetli bir yük oluşturmak.
  • Basit bir değişiklik (örneğin, yazım hatası düzeltmesi) ile bir çekme talebi açmak ve ana yükü gizlemek.
  • Her çekme talebinde iş akışlarının otomatik olarak etkinleşmesinden faydalanarak CI iş akışını tetiklemek.
  • Sırları ve erişim tokenlarını çalmak.

Bu saldırının en dikkat çeken hedeflerinden biri, bilinen zafiyetleri, yanlış yapılandırmaları ve gizli bilgileri arayan Aqua Security’nin popüler güvenlik tarayıcısı trivy oldu.

Aqua Security, “Hackerbot-claw, bir pull_request_target iş akışını kullanarak bir Kişisel Erişim Token’ı (PAT) çaldı” şeklinde açıklama yaptı.

Çalınan kimlik bilgileri, havuzun ele geçirilmesine yol açtı ve kötü niyetli logic, Trivy’nin Visual Studio Code (VS Code) uzantısının Open VSX pazarına kötü niyetli bir sürümünü yüklemeye yaradı.

Kullanıcılar, yüklü uzantıları derhal kaldırmalı, beklenmeyen havuzlar olup olmadığını kontrol etmeli ve ortam sırlarını değiştirmelidir. Saldırı, CVE-2026-28353 kimliği altında izlenmektedir.

Sonuç

Bu keşifler, siber güvenlik alanında sürekli bir teyakkuzun gerekliliğini ortaya koymaktadır. Geliştiricilerin, kullandıkları araçların güvenliğini sürekli gündemde tutmaları, özellikle dış kaynaklardan gelen bağımlılıkları dikkatlice incelemeleri büyük önem taşımaktadır. Geliştiricilerin güncellemeleri, port kapatma ve güvenli yazılım geliştirme uygulamalarına odaklanmaları gerektiğini unutmayın.

Acil: Tehditler Geometri ile ‘İnsani’ Olmayı Nasıl Kanıtlıyor?
Honeywell Experion DCS ve QuickBlox Hizmetlerinde Ortaya Çıkan Kritik Güvenlik Kusurları
Microsoft Edge, ciddi sıfır gün güvenlik açığı için acil durum düzeltme eki alıyor
SonicWall, son VPN saldırılarının nedeni olan açığı düzeltti, sıfır gün değil.
Saldırıları Gerçekten Engelleyen Masa Üstü Egzersizler Tasarlamak
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale DRY ve RUG — Tekrar Eden Kodun Gerçekten Daha İyi Tasarım Olduğu Durumlar
Sonraki Makale Anduril Büyük Bir Adım Attı: Uzay Gözetim Alanında Yeni Bir Kazanım

Sanal Medya

Son Eklenenler

Sriram Krishnan, Beyaz Saray’daki AI danışmanlığından ayrılıyor
Yapay Zeka
En Sevimli Oyunlar: Wholesome Direct 2026’dan Seçtiklerimiz
Liste
Oyun ses çubuğu 5 metre uzaktan ele geçirilebiliyor, risk yok mu?
Donanım
Teknolojinin Gizliliği Kaybettiği Günlere Özlem Duyuluyor
Liste
Trump yönetimi OpenAI’de hisse alabilir mi?
Yapay Zeka
AMD B650 genişletme kartları $199’dan satışa sunuldu: 4 M.2 ve 11 USB portu ekleyin
Donanım