En Büyük Tedarik Zinciri Saldırısı: NPM Paketlerine Enjeksiyon
Son dönemde NPM paketleri üzerinde gerçekleşen ve tarihin en büyük tedarik zinciri saldırısı olarak adlandırılan bir olay, siber güvenlik dünyasında büyük bir yankı uyandırdı. Saldırganlar, 2.6 milyardan fazla haftalık indirme yapan NPM paketlerine kötü amaçlı yazılım enjekte ederek sistemleri ele geçirdi. Bu saldırının temelinde, bir paket yöneticisinin hesabının ele geçirilmesi yatıyor. Hesap, bir oltalama (phishing) saldırısıyla hedef alındı.
Hesap Ele Geçirme ve Oltalama Saldırısının Detayları
Saldırganlar, hedef aldıkları paket yöneticisinin hesabını ele geçirerek çeşitli paketleri güncelleyip içlerine kötü amaçlı kod ekledi. Yöneticinin hesabının ele geçirildiğini doğrulayan açıklamasında, oltalama e-postalarının “support [at] npmjs [dot] help” adresinden geldiğini belirtti. Bu alan adı, gerçek npmjs.com alan adını taklit eden bir site barındırıyordu.
Bu e-postalarda, yöneticinin hesabının 10 Eylül 2025’te kilitleneceği tehdidi yer alıyordu. Bu, hedeflerin panik yaparak e-posta içindeki bağlantıya tıklamaları için kullanılan bir korkutma taktiğiydi. E-postada ayrıca, kullanıcıların İki Adımlı Doğrulama (2FA) bilgilerini güncellemeleri isteniyordu. Uzun bir süre boyunca güncellenmeyen 2FA bilgilerinin, hesapların başka saldırılara maruz kalmaması için geçici olarak kilitleneceği belirtilmişti.
Kötü Amaçlı Yazılımın Çalışma Prensibi
Aikido Security’den elde edilen bilgilere göre, saldırganlar kontrolü ele aldıktan sonra, paketlerin içeriğini değiştirdi. Kötü amaçlı kod, index.js dosyalarına entegre edilerek, kullanıcıların web tarayıcılarında kripto para transferlerini izleyebilme yeteneğine sahip bir araç oluşturdu. Bu kod, kullanıcının gerçekleştirmeye çalıştığı işlemleri kötü niyetli cüzdan adreslerine yönlendiriyordu.
Söz konusu kötü amaçlı yazılım, Ethereum, Bitcoin, Solana gibi birçok kripto paranın cüzdan adreslerini izleyerek işlemlerin hepsini ele geçirebiliyor. Kullanıcının imzalaması beklenen işlemler sırasında cüzdan adresini değiştirip, saldırganın kontrolündeki adreslere yönlendiriyor.
Etki Alanı ve Hedef Alınan Paketler
Bu saldırıda hedef alınan ve etkilenen paketler, toplamda haftalık 2.6 milyar indirme sayısına sahip. Bazı örnekleri aşağıda sıralanmıştır:
- backslash: 0.26 milyon indirme
- chalk-template: 3.9 milyon indirme
- color-string: 27.48 milyon indirme
- supports-color: 287.1 milyon indirme
- chalk: 299.99 milyon indirme
Saldırganların manipüle ettiği bu paketlerin, kullanıcıların farkında olmadan kötü amaçlı yazılım ile entegre edilmiş hale gelmesi, saldırının tehlikesini artırmakta. Aikido Security araştırmacısı Charlie Eriksen, saldırının birden fazla katmanda çalıştığını belirtiyor. Web sitelerinde gösterilen içeriği değiştirmekten tutun, API çağrılarını manipüle etmeye kadar uzanan geniş bir etki alanına sahip.
Geçmişteki Benzer Saldırılar
Bu olay, son birkaç ay içinde JavaScript kütüphanelerine benzer şekilde düzenlenen birçok saldırının sonuncusu. Örneğin, Temmuz ayında eslint-config-prettier isimli bir paket, 30 milyon haftalık indirme ile saldırıya uğramıştı. Mart ayında da on farklı popüler NPM kütüphanesi, bilgi hırsızlığı amacıyla ele geçirilmişti.
Sonuç
Tedarik zinciri saldırıları, gün geçtikçe daha sofistike hale gelmekte ve yazılım geliştiricileri için ciddi riskler oluşturmaktadır. Siber güvenlik önlemlerinin giderek arttığı bu dönemde, kullanıcıların dikkatli olması ve hesap güvenliklerini sağlamaları elzemdir. Bu tür olayların önlenmesi için, mümkün olan her durumda güncel güvenlik yöntemlerinin (örneğin, 2FA) kullanılması, farkındalık yaratmak açısından son derece önemlidir. Tedarik zinciri saldırıları konusunda derinlemesine bir farkındalık oluşturulması, yazılım dünyasında daha güvenli bir ortam yaratılması adına kritik bir adımdır.
