Yazılım Tedarik Zinciri Saldırıları: Toptal Vakası
Son dönemlerde yazılım tedarik zinciri saldırıları, siber güvenlik alanında önemli bir tehdit haline geldi. Toptal, bu konudaki son örneklerden biri olarak karşımıza çıkıyor. Bilinmeyen saldırganlar, Toptal’ın GitHub organizasyon hesabını ele geçirerek, npm kayıt defterine on tane kötü amaçlı paket yüklemeyi başardılar. Bu paketler, kullanıcıların GitHub kimlik doğrulama jetonlarını çalmak ve bazı sistemlerde büyük hasar vermek amacıyla hazırlanmıştı.
Kötü Amaçlı Paketlerin Detayları
Bu saldırıda etkilenen paketler arasında şunlar yer aldı:
- @toptal/picasso-tailwind
- @toptal/picasso-charts
- @toptal/picasso-shared
- @toptal/picasso-provider
- @toptal/picasso-select
- @toptal/picasso-quote
- @toptal/picasso-forms
- @xene/core
- @toptal/picasso-utils
- @toptal/picasso-typograph
Bu Node.js kütüphaneleri, aynı kötü amaçlı yükü taşıyan package.json dosyaları ile birlikte geldi. Toplamda yaklaşık 5,000 kez indirildi. Saldırganlar, bu paketlerin yüklemesi sırasında GitHub kimlik doğrulama jetonunu bir webhook[.]site adresine göndermek için preinstall ve postinstall betiklerini hedef aldı. Ayrıca, kullanıcı etkileşimi olmadan tüm dizinleri ve dosyaları silen kodlar da içeriyordu.
Saldırının Arka Planı
Saldırının nasıl gerçekleştiği henüz bilinmiyor. Ancak, bu tür bir ihlalin birçok olası sebebi bulunuyor. Kimlik bilgisi ihlali, yetkisiz içerik yükleme veya Toptal’ın GitHub organizasyonuna erişimi olan kötü niyetli iç kaynaklar bu sebeplerden bazıları. Olayın hemen ardından, etkilenen paketlerin en son güvenli sürümlerine geri döndürüldüğü bildirildi.
Bu saldırı, npm ve Python Paket Endeksi (PyPI) gibi diğer yüklü kayıt defterlerini hedef alan daha geniş bir tedarik zinciri saldırısı ile aynı döneme denk geldi. Bu saldırılarda, geliştirici makinelerine malware yükleyebilen gözlem yazılımları kullanıldı. Bu kötü amaçlı yazılımlar, tuş kaydı, ekran görüntüsü alma, webcam görüntüsü yakalama, sistem bilgilerini toplama ve kimlik bilgilerini çalma gibi işlevler taşıyordu.
Diğer Etkileyici Paketler
Saldırı kapsamında tespit edilen diğer paketler şunlardı:
- dpsdatahub (npm) – 5,869 İndirme
- nodejs-backpack (npm) – 830 İndirme
- m0m0x01d (npm) – 37,847 İndirme
- vfunctions (PyPI) – 12,033 İndirme
Bu durum, kötü niyetli aktörlerin açık kaynak ekosistemlerindeki güveni kötüye kullanarak kötü amaçlı yazılım ve casus yazılımlar yerleştirmeye yönelik devam eden eğilimini bir kez daha gözler önüne serdi.
Amaçlanan Hedefler ve Son Gelişmeler
Toptal vakasının yanı sıra, Amazon’un Visual Studio Code (VS Code) için geliştirdiği Q uzantısı da benzer bir tehlike ile karşı karşıya kaldı. Üzerine kötü niyetli komutlar eklenmiş bir versiyon, kullanıcının ev dizinini silmek ve tüm AWS kaynaklarını ortadan kaldırmak için tasarlanmıştı. Saldırgan, “lkmanka58” takma adıyla bu durumdan sorumlu olduğunu belirtti ve kodun kötü niyetli amaçlar taşıdığı halde kabul edilerek kaynak koduna entegre edildiğini ifade etti.
Amazon, bu kötü amaçlı sürümü kaldırarak 1.85.0 versiyonunu yayınladı. Yine, bu konuda yapılan araştırmalar, açık kaynak VSC uzantısına yönelik onaylanmamış kod değişikliklerinin yapıldığını ortaya koydu. Amazon, bu bilgiyi duyurarak herhangi bir üretim hizmeti veya son kullanıcıyı etkilemediğini açıkladı.
Sonuç Olarak Güvenlik Önlemleri
Bu tür olaylar, yazılım geliştiricilerinin ve şirketlerin güvenliği sağlamak için daha etkin önlemler gerektiğini açıkça ortaya koyuyor. Özellikle açık kaynak yazılımların güvenilirliği, şirketlerin yazılımlarını ne kadar düzgün yönettiğiyle paralel ilerlemekte. Kullanıcıların, sürekli güncel kalmaları ve kullandıkları paketlerin güvenilirliğini kontrol etmeleri büyük önem taşıyor. Bu bağlamda, yapısal güvenlik önlemlerinin alınması ve güvenlik testlerinin düzenli olarak yapılması, benzer tehditlere karşı etkili bir savunma mekanizması oluşturacaktır.
