Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Kritik: AsyncAPI npm Paketleri Kimlik Bilgisi Çalan Zararlı Yazılım Düzeninde
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Kritik: AsyncAPI npm Paketleri Kimlik Bilgisi Çalan Zararlı Yazılım Düzeninde

Siber Güvenlik

Kritik: AsyncAPI npm Paketleri Kimlik Bilgisi Çalan Zararlı Yazılım Düzeninde

teknomers
Son güncelleme: 15 Temmuz 2026 19:19
teknomers
Paylaş
Paylaş

Giriş

Geçtiğimiz günlerde, Node Package Manager (npm) üzerinde beş adet kötü amaçlı AsyncAPI paketi yayımlandı. Bu olay, yazılım tedarik zinciri güvenliğinin ne kadar kritik olduğunu bir kez daha gözler önüne serdi.

Contents
  • Giriş
  • Saldırı Nasıl Çalışıyor?
  • Etkilenen Sistemler
  • Çözüm ve Korunma
  • Aksiyon

Saldırı Nasıl Çalışıyor?

Saldırı, yanlış yapılandırılmış bir GitHub Actions iş akışının istismar edilmesiyle gerçekleştirildi ve  @asyncapi  ad alanında trojan içerikli paketler yayımlandı. Yayımlanan paketlerin haftalık indirme sayısı toplamda  2.25 milyon ‘dan fazla oldu.  14 Temmuz  tarihinde, bir saldırgan iki AsyncAPI GitHub deposunu ele geçirerek, proje dosyalarına kötü amaçlı yazılım enjekte etti.

Araştırmacılar, saldırının CI/CD boru hattı üzerinden gerçekleştirildiğini belirtiyor. Saldırgan, sahte bir Git kimliğiyle gönderiler (commit) yaptı ve her bir deponun gerçek dağıtım işleminde npm‘in GitHub OIDC güvenilir yayıncı entegrasyonu sayesinde paketlerin yayımlanması sağlandı. Bu sayede, yayımlanan paketlerin meşru SLSA köken attestasyonlarına sahip olması garanti edildi.

Etkilenen Sistemler

Yayımlanan kötü amaçlı AsyncAPI paketlerinin ilk aşaması,  JavaScript ‘te obfuscate edilmiş bir ifade. Bu ifade, enfekte dosya içe aktarıldığında bir indirgici (downloader) başlatmaktadır. İkinci aşamadaki script ise, konfigürasyon detayları ve ana çalışma zamanını içeren,  IPFS  eşler arası içerik dağıtım ağından indiriliyor ve gizli bir işlem olarak çalıştırılıyor.

Üçüncü aşama nesne yükü ise, 92,000 satır koddan oluşan bir kötü amaçlı yazılım framework’ü. Bu framework, sistem üzerinde kalıcı bir yapı oluşturuyor ve bir komut ve kontrol (C2) sunucusuyla çeşitli kanallar üzerinden iletişim kuruyor: HTTP, Nostr relays, Ethereum akıllı sözleşmeleri, ve libp2p mesh ağı.

Araştırmacılar, son yükün daha önceki yazılım tedarik zinciri saldırılarında görülen Miasma arka kapısını işaret ettiğini belirtiyor. SafeDep araştırmacıları, bunun ya aynı operatörler tarafından oluşturulmuş özel bir yapı olduğunu ya da Miasma markasını benimseyen ayrı bir grubun ürünü olduğunu düşünüyor.

Çözüm ve Korunma

Kötü amaçlı yazılımın amacı, çok sayıda hassas bilgiyi çalmaktır. Bu bilgiler arasında şunlar yer alıyor:

  • Kullanıcı kimlik bilgileri
  • Kimlik doğrulama anahtarları
  • Token’lar
  • Tarayıcı verileri
  • CI/CD sistemlerinden hassas bilgiler
  • Kripto para cüzdanları
  • Veritabanları

Ancak, bir siber güvenlik şirketi olan Aikido’nun raporuna göre, kötü amaçlı yazılımın tüm bu işlevleri çalışmamaktadır; veri toplama aracı, herhangi bir veriyi toplamadan çıkış yapmaktadır. Buna rağmen, araştırmacılar bunun elle de gerçekleştirilebileceğini belirtmektedir.

Kötü amaçlı yazılım, Rusya’da olup olmadığını yerel olarak kontrol ediyor ve eğer bir eşleşme varsa, sürecini sonlandırıyor.

Mevcut durumda, beş adet kötü amaçlı paket npm’den kaldırılmıştır. Fakat geliştiricilerin, mevcut kurulumlarının ve ifşa süresi boyunca oluşturulmuş kilit dosyalarının (lock files) hala kötü amaçlı sürümleri içerebileceğini unutmamaları gerekmektedir.

Yayılma süresi, 07:10 ile 11:18 UTC arasında yaklaşık dört saat yedi dakika sürmüştür.

Aksiyon

Yapılması gerekenler:

  • Bilinçli dosyalara sabitlenin (pin)
  • Kilit dosyalarını (lock files) yeniden oluşturun
  • Gizli ‘NodeJS/sync.js’ yükünü kaldırın
  • Tüm kötü amaçlı süreçleri sonlandırın
  • Etki alanındaki sistemlerde kimlik bilgilerini değiştirme (rotate) işlemini gerçekleştirin

Bu adımları takip ederek, sistemlerinizi koruma altına alabilir ve ilerideki olası saldırılara karşı hazırlıklı olabilirsiniz.

Acil: CISA, Fortinet, Microsoft ve Adobe’deki Kritik Açıkları Duyurdu
“Tarayıcı uzantıları EDR/XDR için kör bir noktadır ve SWG’lerin bunların varlığını anlamalarının hiçbir yolu yoktur”: Google Chrome’un özel ve güvenli olarak lanse edilen yeni Manifest V3 çerçevesi, kimlik avı dolandırıcılıkları için bir üreme alanı olabilir
İyi Güvenlik Farkındalığı Programları Yanlış Gittiğinde
Kritik: Residential Proxiler, 4 Milyar Oturumda IP İtibarını Aşıyor!
Google Gemini 3 Pro ve Nano Banana 2: Çıkış Tarihleri Sızdırıldı!
ETİKETLENDİ:AsyncAPIbilgisiÇalandüzenindeKimlikKritikNpmpaketleriYazılımzararlı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Acil: Yapay Zeka Döneminde Onay Açığını Kapatmanın Yolları
Sonraki Makale Microsoft, Yapay Zeka Kullanarak Tarihi Sayıda Güvenlik Açığını Kapatıyor

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Suno, YouTube, Genius ve Deezer’dan Milyonlarca Şarkı Kopyaladı
Liste
OnePlus Avrupa ve ABD Operasyonlarını Durdurma Planında mı?
Genel
Arkadaşlarla Oynama Keyfini Artıran 10 Oyun Paketi
Oyun
ASRock Phantom Gaming ve Steel Legend 360 LCD: Etkileyici Soğutma İncelemesi
Donanım
Overwatch’ın Yeni Stadyum Modu için Kritik Dönem Başladı
Oyun
Samsung Z Fold 8 için Spider-Man Teaser’ında Yepyeni Bir Şekil Gösterdi
Liste
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?