JavaScript Paketlerinde Yazılım Tedarik Zinciri Saldırısı
2026 yılının ortalarında, popüler bir açık kaynak JavaScript ve TypeScript çerçevesi olan Mastra’nın 144 npm paketi, “easy-day-js” adındaki bir yazılım tedarik zinciri saldırısıyla tehlikeye atıldı. Bu olay, yazılım güvenliği açısından önemli bir risk oluşturmakta ve geliştiricilerin dikkatini çekmektedir.
Saldırı Nasıl Çalışıyor?
Saldırı, npm hesabı “ehindero” tarafından kısa bir süre içinde 140’tan fazla kötü amaçlı paket yayınlanarak gerçekleştirilmiştir. Bu paketler, CVE-2026-XX koduyla tanımlanan bir yazılım açığı içermemektedir; bunun yerine, “easy-day-js” adlı bir üçüncü taraf kütüphanesi ile kötü amaçlı kod entegre edilmiştir. Kütüphane, 2026-06-16 tarihinde “sergey2016” adlı bir npm kullanıcısı tarafından temiz bir sürüm olarak yayınlandı, fakat saldırganlar 2026-06-17 tarihinde kötü amaçlı değişiklikleri eklediler.
easy-day-js kütüphanesi, bir postinstall aşamasında gizlenmiş bir yükü çalıştırmaktadır. Bu yük, saldırgana ait bir altyapıdan başka bir yükü indirmek için kullanılan bir dropper veya loader işlevi görür. Hedef IP adresi 23.254.164[.]92 olarak belirlenmiştir.
Yük, bir arka plan süreci olarak çalıştırıldıktan sonra, loader kendini silerek iz bırakmamaya çalışmaktadır. Nihai aşamada, çok platformlu bir bilgi toplayıcı olarak görev yaparak, tarayıcı geçmişini ve 160’tan fazla kripto para cüzdanı uzantısından verileri toplayabilmektedir. Toplanan bilgiler daha sonra 23.254.164[.]123 adresine gönderilmektedir.
Etkilenen Sistemler
Etkilenen paketlerin arasında @mastra/core bulunmaktadır ve bu paket haftada 918,000’den fazla npm indirmesi almaktadır. Bu durum, saldırının geniş bir etki alanına sahip olabileceğini göstermektedir. Sisteme yüklenen kötü amaçlı kod, geliştiriciler paketleri kullanmadan önce çalışmaya başladığı için, belirtiler hemen tespit edilmeyebilir.
Çözüm ve Korunma
Saldırı sonucunda, kullanıcıların alması gereken önlemler şunlardır:
- Etkin sistemleri analiz edin: Tüm ağır etkilenen sistemleri tarayın ve olası kötü amaçlı paketleri temizleyin.
- Güncellemeleri kontrol edin: npm paketlerinizi güncelleyerek, CVE-2026-XX açıklarından korunmaya çalışın.
- Kimlik bilgilerini değiştirme: Potansiyel olarak etkilenmiş kimlik bilgilerini güncelleyin.
- Audit ve İzleme: Sistemlerdeki dosyaları ve aktiviteleri denetleyin.
Sonuç olarak, herhangi bir çalışma istasyonu, CI çalıştırıcısı veya inşa ortamı, etkilenen versiyonları yüklediyse bu sistemlerin potansiyel olarak tehlikeye atılmış olabileceğinin farkında olmalıdır. Sistemlerinizi güvenli bir sürüme geri döndürün ve etkileri en aza indirmek için gereken tüm önlemleri alın.
