Son zamanlarda vm2 Node.js kütüphanesinde tespit edilen on iki kritik güvenlik açığı, kötü niyetli aktörlerin sandbox’dan çıkmasını ve etkilenen sistemlerde rastgele kod çalıştırmasını sağlayabilir. Bu durum, siber güvenlik açısından ciddi bir tehdit oluşturmaktadır.

vm2 Nedir?

vm2, güvenli bir sandbox içinde güvenilir olmayan JavaScript kodunu çalıştırmak için kullanılan açık kaynaklı bir kütüphanedir. Bu kütüphane, JavaScript nesnelerini yakalayıp yönlendirerek sandbox içindeki kodun ana ortama erişimini engeller.

Sorunlu Güvenlik Açıkları

Aşağıda, vm2 kütüphanesinde tespit edilen güvenlik açıkları sıralanmaktadır:

• CVE-2026-24118 (CVSS puanı: 9.8) – “__lookupGetter__” aracılığıyla sandbox kaçışı sağlayan ve bir saldırganın ana sistemde rastgele kod çalıştırmasına izin veren bir zafiyet.
• CVE-2026-24120 (CVSS puanı: 9.8) – CVE-2023-37466 zafiyetinin (CVSS puanı: 9.8) bir yamanın atlanmasını sağlayan bir zafiyet.
• CVE-2026-24781 (CVSS puanı: 9.8) – “inspect” fonksiyonu aracılığıyla sandbox kaçışına izin veren bir zafiyet.
• CVE-2026-26332 (CVSS puanı: 9.8) – “SuppressedError” üzerinden sandbox kaçışı sağlayan bir zafiyet.
• CVE-2026-26956 (CVSS puanı: 9.8) – Symbol-to-string dönüşümü tarafından tetiklenen bir TypeError ile sandbox kaçışına izin veren koruma mekanizması hatası.
• CVE-2026-43997 (CVSS puanı: 10.0) – Ana sistemde rastgele kod çalıştırılmasına yol açan bir kod enjekte etme zafiyeti.
• CVE-2026-43999 (CVSS puanı: 9.9) – NodVM’in yerleşik izin listesini atlatan bir zafiyet.
• CVE-2026-44005 (CVSS puanı: 10.0) – Saldırı altındaki JavaScript’in sandbox’tan çıkmasına ve prototype kirlenmesine izin veren bir zafiyet.
• CVE-2026-44006 (CVSS puanı: 10.0) – “BaseHandler.getPrototypeOf” aracılığıyla sandbox kaçışına yol açan bir kod enjekte etme zafiyeti.
• CVE-2026-44007 (CVSS puanı: 9.1) – Yanlış erişim kontrolü zafiyeti.
• CVE-2026-44008 (CVSS puanı: 9.8) – “neutralizeArraySpeciesBatch()” aracılığıyla sandbox’tan kaçışına izin veren bir zafiyet.
• CVE-2026-44009 (CVSS puanı: 9.8) – Null proto istisnası aracılığıyla sandbox kaçışına izin veren bir zafiyet.

Korunma Önerileri

Bu güvenlik açıkları, vm2 kullanıcısı olan herkes için büyük bir tehdit oluşturuyor. Kullanıcılara, en son sürüme (3.11.2) güncellemelerini şiddetle öneriyoruz. Ek olarak:

• Eski sürümlerin kullanılmasını engelleyin.
• Güvenlik izinlerini ve erişim gereksinimlerini gözden geçirin.
• Sandbox ortamlarını sürekli izleyin ve güvenlik denetimleri yapın.

Bu önlemlerle, sistemlerinizde potansiyel olarak oluşabilecek tehlikeleri azaltabilirsiniz.

Siber güvenlik araştırmacıları, zaman ile ilgili araçlar olarak gözüküp kötü niyetli veri sızıntıları gerçekleştiren beş Rust paketini keşfetti. Bu durum, yazılımcıların gizli bilgilerini hedef alan siber saldırıların artışına dikkat çekiyor.

Saldırı Nasıl Çalışıyor?

Keşfedilen Rust paketleri, crates.io platformunda yer alıyor ve aşağıdaki isimlerle listeleniyor:

• chrono_anchor
• dnp3times
• time_calibrator
• time_calibrators
• time-sync

Bu paketler, timeapi.io adresini taklit ediyor ve Şubat sonu ile Mart 2026 arasında yayımlandı. Tek bir tehdit aktörüne ait olduğu değerlendirilen söz konusu paketler, veri sızdırma yöntemlerinde benzerlik gösteriyor ve “timeapis[.]io” alan adını kullanarak çalınan verileri saklıyor.

Güvenlik araştırmacısı Kirill Boychenko, “Paketler yerel zaman araçları olarak görünse de, aslında kimlik bilgilerini ve gizli verileri çalma amacı güdüyor” dedi. Paketlerin, özellikle .env dosyalarını hedef alarak hassas bilgileri topladığı ve bu bilgileri tehdit aktörlerinin kontrolündeki altyapıya ilettiği belirtiliyor.

Etkilenen Sistemler

Bu paketlerden dördü .env dosyalarını sızdırma konusunda oldukça basit bir yeteneğe sahipken, chrono_anchor isimli paket daha ileri bir adım atarak gizlileştirme ve işletim değişiklikleri uygulayarak tespiti önlemeye çalışıyor. Chrono_anchor, “guard.rs” adlı bir dosya içerisinde veri sızıntısı kodunu bulunduruyor ve bu fonksiyon, geliştiricilerin şüphelerini artırmamak adına bir “opsiyonel senkronizasyon” yardımcı fonksiyonu üzerinden çağrılıyor.

Bu kötü amaçlı kod, bir Sürekli Entegrasyon (CI) iş akışı geliştiricisi tarafından çağrıldığında sürekli olarak .env sırlarını sızdırmayı deniyor. .env dosyaları genellikle API anahtarları, tokenlar ve diğer gizli bilgileri tuttuğundan, bu dosyaların hedef alınması tesadüf değil.

Çözüm ve Korunma

Paketler crates.io platformundan kaldırıldı, ancak bu paketleri yanlışlıkla indiren kullanıcıların şu adımları atması öneriliyor:

• Olası bir veri sızıntısı durumunda, anahtarları ve tokenları değiştirmek.
• Yayın veya dağıtım kimlik bilgileriyle çalışan CI/CD işlemlerini denetlemek.
• Mümkünse dışa açık ağ erişimini sınırlamak.

Socket araştırma şirketi, “Bu kampanya, düşük karmaşıklıkta tedarik zinciri kötü amaçlı yazılımlarının geliştirici çalışma alanlarında ve CI işlerinde yüksek etkiye ulaşabileceğini gösteriyor” ifadelerine yer verdi. Kötü niyetli bağımlılıkları çalıştırmadan durdurmaya yönelik önlemlerin öncelikli olarak alınması öneriliyor.

AI Destekli Botlar GitHub Actions’ı Sıcak Hedef Haline Getirdi

Ayrıca, yapay zeka destekli bir bot olan hackerbot-claw’ın, büyük açık kaynak kodlu havuzlarında CI/CD süreçlerini hedef alan otomatik bir saldırı kampanyası yürüttüğü keşfedildi. Bu kampanya, Şubat 2026 arasında Microsoft, Datadog ve Aqua Security gibi firmalara ait en az yedi havuzu hedef aldı.

Saldırı süreci şu şekilde ilerliyor:

• Açık havuzları hatalı yapılandırılmış CI/CD iş akışları için taramak.
• Hedef havuzu fork’lamak ve kötü niyetli bir yük oluşturmak.
• Basit bir değişiklik (örneğin, yazım hatası düzeltmesi) ile bir çekme talebi açmak ve ana yükü gizlemek.
• Her çekme talebinde iş akışlarının otomatik olarak etkinleşmesinden faydalanarak CI iş akışını tetiklemek.
• Sırları ve erişim tokenlarını çalmak.

Bu saldırının en dikkat çeken hedeflerinden biri, bilinen zafiyetleri, yanlış yapılandırmaları ve gizli bilgileri arayan Aqua Security’nin popüler güvenlik tarayıcısı trivy oldu.

Aqua Security, “Hackerbot-claw, bir pull_request_target iş akışını kullanarak bir Kişisel Erişim Token’ı (PAT) çaldı” şeklinde açıklama yaptı.

Çalınan kimlik bilgileri, havuzun ele geçirilmesine yol açtı ve kötü niyetli logic, Trivy’nin Visual Studio Code (VS Code) uzantısının Open VSX pazarına kötü niyetli bir sürümünü yüklemeye yaradı.

Kullanıcılar, yüklü uzantıları derhal kaldırmalı, beklenmeyen havuzlar olup olmadığını kontrol etmeli ve ortam sırlarını değiştirmelidir. Saldırı, CVE-2026-28353 kimliği altında izlenmektedir.

Sonuç

Bu keşifler, siber güvenlik alanında sürekli bir teyakkuzun gerekliliğini ortaya koymaktadır. Geliştiricilerin, kullandıkları araçların güvenliğini sürekli gündemde tutmaları, özellikle dış kaynaklardan gelen bağımlılıkları dikkatlice incelemeleri büyük önem taşımaktadır. Geliştiricilerin güncellemeleri, port kapatma ve güvenli yazılım geliştirme uygulamalarına odaklanmaları gerektiğini unutmayın.

Anna’s Archive: Müzik Kütüphanesinin Korunması Üzerine Bir Girişim

Anna’s Archive adlı korsan aktivist grubu, Spotify’ın müzik kütüphanesinin tamamını sınırsız bir erişim sağlayarak paylaşıma sunmayı hedefliyor.

Spotify’nın Kapsamı ve Anna’s Archive İnisiyatifinin Boyutu

Spotify, yaklaşık 256 milyon parçaya ev sahipliği yaparken, Anna’s Archive koleksiyonunda bu parçaların %99.9‘unun metadata bilgileri yer alıyor. Grubun arşivlediği yaklaşık 86 milyon müzik dosyası, Spotify’daki tüm dinlemelerin %99.6300 terabayt olarak hesaplanıyor. Ancak şu an itibarıyla sadece metadata bilgileri yayımlanmış durumda; henüz herhangi bir müzik dosyası paylaşılmamıştır.

Müzik Koruma Arşivi ve Amacı

“Bu Spotify verilerini toplama girişimimiz, müziği koruma arşivi oluşturma konusundaki alçakgönüllü çabamızdır” diyen grup, bu konuda bir blog yazısı yayımladı. “Elbette ki Spotify, dünyadaki tüm müzikleri barındırmıyor; fakat bu, büyük bir başlangıçtır,” ifadesini kullandı.

Spotify’dan Gelen Tepkiler

Spotify, TechCrunch’a yaptığı açıklamada, veri toplama işlemlerinde yer alan kullanıcı hesaplarını tespit ettiklerini ve devre dışı bıraktıklarını belirtti. “Bu tür telif hakkı ihlalleri ve saldırılarıyla mücadele için yeni önlemler aldık ve şüpheli davranışları aktif olarak izliyoruz,” dedi bir Spotify sözcüsü. “Başından beri, sanatçı topluluğuyla birlikte korsanlığa karşı durduk ve içerik üreticilerini korumak için sanayi ortaklarımızla birlikte çalışıyoruz.”

Bilgi ve Kültürün Korunması: Anna’s Archive’ın Vizyonu

Anna’s Archive, genelde metin, kitap ve belgeler üzerine yoğunlaşmış bir grup olarak bilinse de, insanlığın bilgi ve kültürünü koruma misyonunun medya türlerinden bağımsız olduğunu ifade ediyor. Grubun amacı, çeşitli medya türlerindeki içeriklerin sürdürülebilir bir şekilde arşivlenmesini sağlamak ve geleceğe taşımaktır.

Sonuç ve Değerlendirme

Anna’s Archive’ın bu iddialı girişimi, müzik verilerinin korunmasına yönelik önemli bir adım atılması anlamına geliyor. Ancak, bu süreçte telif hakları ve sanatı koruma konusunda yaşanan çekişmeler, daha geniş bir tartışmayı beraberinde getiriyor. Şu an için sadece metadata yayımlanmış olsa da, bu tür girişimlerin artmasının müzik sektörü üzerindeki etkileri merakla bekleniyor.

Sonuç olarak, bilgi ve kültürün korunmasına ilişkin bu tür çabalar, Spotify gibi büyük platformlarla çatışmalara neden olabilirken, aynı zamanda müziğin geleceği üzerine düşündürmektedir. Nosyon ve dinleyici arasındaki ilişkiyi yeniden şekillendirecek olan bu tür girişimlerin sonuçları, önümüzdeki dönemde dikkatle takip edilmelidir.

Güncel Teknoloji Haberleri – 1

Amerika Birleşik Devletleri Anayasası, ülkenin temel yasalarını ve hükümet yapısını belirleyen kritik bir belgedir. Ancak, son zamanlarda bu tarihî belgedeki bazı bölümlerin resmi web sitesinden kaybolması büyük bir endişe yarattı. Kütüphane yetkilileri, Anayasa’nın belli bölümlerinin kaybolmasının ardındaki sebebi açıklamıştır.

Kayıp Bölümler ve Kamu Tepkisi

Anayasa’nın önemli bir kısmı olan Bölüm 8‘in yanı sıra Bölüm 9 ve Bölüm 10 tümüyle silindi. Bu değişiklik, Kongre güçleri, eyalet hakları ve adil yargılama hakları gibi konuları kapsıyordu. Özellikle, Trump yönetimi döneminde habeas corpus hakkının askıya alınacağına dair tehditler varken, bu değişiklik halkı kaygıya sevk etti.

Böyle bir durum, temel hak ve özgürlüklerin tartışıldığı bir dönemde oldukça kritik bir konuydu. Kayıtların kaybolması, halk arasında büyük bir belirsizlik ve güvensizlik yarattı. Bu durum, anayasanın tarihsel önemini dikkate aldığımızda oldukça endişe vericiydi.

Kütüphane’nin Açıklaması

Kütüphane’nin resmi Twitter hesabından yapılan açıklamada, kaybolan bölümlerin bir “kodlama hatası” nedeniyle silindiği belirtildi. Kütüphane yetkilileri, TechCrunch’a verdikleri bir röportajda bu durum hakkında daha fazla bilgi verdiler. Kütüphane’nin iletişim direktörü Bill Ryan, “Çevrimiçi Anayasa Açıklamaları, Anayasa’nın metniyle bağlantılı olarak Yüksek Mahkeme’nin son görüşlerine dair tartışmaları içeren bir eğitim aracıdır,” dedi.

Ryan, Anayasa’nın Bölüm 1‘inin 8-10 arası kısımlarını güncellerken, ekiplerinin yanlışlıkla bir XML etiketi sildiğini belirtti. Bu durum, metnin görünürlüğünü etkileyerek, sekizden sonraki her şeyi göz ardı etti. Ryan, “Sorun düzeltildi ve güncellenmiş anayasal analizimiz artık erişilebilir. Gelecekte benzer sorunların yaşanmaması için önlemler alıyoruz,” diye ekledi.

XML Nedir ve Nasıl Çalışır?

XML, Kütüphane tarafından web sitesini biçimlendirmek için yaygın olarak kullanılan bir işaretleme dilidir. Temelde veri aktarımını ve depolanmasını kolaylaştıran bir yapı sunar. Kütüphane’nin deneyimi gösteriyor ki, bir eksik veya yanlış yerleştirilmiş kapatma etiketi, web sitesinde metin kaybına neden olabilir. Yani, bir bölümün dışındaki her şey yerine getirilmez ve bu da önemli bilgilerin kaybolmasına yol açabilir.

Bu tür hatalar, dijital platformlar için alışılmadık değildir; ancak Anayasa gibi tarihî belgelerde bu durumun yaşanması dikkat çekici. Kütüphane’nin bu hatayı erkenden fark edip düzeltmesi önemlidir, çünkü Anayasa’nın güvenilirliği ve bütünlüğü, demokratik bir toplumun işleyişi için esastır.

Halkın Bilinçlenmesi

Kayıp metinlerin ardından halkın duyduğu endişe, Anayasa’nın güncellenmesi ve korunması konusunda daha fazla şeffaflık talebini doğurdu. Bu olay, bireylerin mahal hukumlerinin, eyalet yönetimlerinin ve genel olarak hükümetin yasalar üzerindeki etkisini anlaması için bir çağrı niteliği taşıyor. Dijital çağda, resmi belgelerin ve yasaların herkesin erişebileceği biçimde korunması son derece önemlidir.

Kütüphane’nin bu sorunları çözme ve önleme konusundaki kararlılığı, Anayasa’nın toplumdaki yerinin ve değerinin yeniden teyit edilmesine yardımcı olabilir. Halkın güveninin yeniden kazanılması için, resmi kaynakların doğru ve eksiksiz bilgi sunması şarttır.

Sonuç

Tüm bunlar, Amerika’nın tarihî belgesi Anayasa’nın dijital mevcudiyetinin önemini gözler önüne seriyor. Geçmişte yaşanan yüzleşmeler ve değişimleri izlemek, gelecekteki olası sorunları önlemek açısından önemlidir. Kütüphane ve diğer benzer kurumların, benzer hataların yaşanmaması için daha etkili yöntemler geliştirmesi büyük bir gereklilik haline gelmiştir. Bu tür olayların, Anayasa’nın özüne ve bütünlüğüne zarar vermeden nasıl yönetileceği, geleceğin teminatı olacaktır.

Güncel Teknoloji Haberleri – 1