Yeni Yazılım Tedarik Zinciri Saldırısı

Son günlerde, Laravel-Lang’a ait birden fazla PHP paketini hedef alan yeni bir yazılım tedarik zinciri saldırısı rapor edilmiştir. Bu saldırı, kullanıcı bilgilerini çalmaya yönelik kapsamlı bir çerçeve sunmaktadır ve büyük bir tehlike oluşturmaktadır.

Etkilenen Paketler

Etkilenen paketler şunlardır:

• laravel-lang/lang
• laravel-lang/http-statuses
• laravel-lang/attributes
• laravel-lang/actions

Saldırı, Mayıs 22 ve 23, 2026 tarihlerinde hızla yayınlanan etiketlerle geniş bir Laravel Lang organizasyonu sürecine sızma gösteriyor. Toplamda 700’den fazla versiyon belirlenmiş olup bu durum, otomatik kütükleme veya yeniden yayınlamanın bir sonucu olabileceğini göstermektedir.

Saldırı Nasıl Çalışıyor?

Saldırının temel kötü amaçlı fonksiyonu, etiketlere gömülü src/helpers.php adlı dosyada yer almaktadır. Bu dosya, enfekte olan makinenin parmak izi almayı ve dış bir sunucuya (flipboxstudio[.]info) PHP tabanlı çoklu platform yüklemesi indirmeyi amaçlıyor. Windows üzerinde, Visual Basic Script başlatıcısı kullanarak çalışmakta; Linux ve macOS üzerinde ise exec() komutunu kullanarak yüklemeyi yürütmektedir.

Dosya, composer.json dosyasının autoload.files alanında tanımlandığı için, enfekte uygulama tarafından her PHP talebinde otomatik olarak çalıştırılmaktadır.

Kötü amaçlı yazılım, yalnızca bir kez tetiklenecek şekilde her makineye özel bir joker oluşturmakta ve böylece yeniden çalışmasını engellemektedir.

Veri Çalma Kapasitesi

Bu kötü amaçlı yazılım, enfekte sistemlerden çok sayıda veriyi çalmaya ve bunları dış sunucuya göndermeye yetkindir. Çalınan veriler arasında şunlar bulunmaktadır:

• IAM rolleri ve bulut metadata uç noktaları
• Google Cloud varsayılan uygulama kimlik bilgileri
• Microsoft Azure erişim tokenleri
• Kubernetes servis hesabı tokenleri
• Çeşitli bulut platformlarına ait kimlik bilgileri
• Tarayıcı geçmişi, çerezler ve Google Chrome, Microsoft Edge, Mozilla Firefox gibi tarayıcılara ait giriş verileri
• Üçüncü parti uygulamaların (Discord, Slack vb.) oturum belirteçleri
• SSH özel anahtarları ve Docker kimlik bilgileri
• Çeşitli VPN yapılandırma dosyaları

Kötü amaçlı yazılım, çaldığı verileri AES-256 ile şifreleyerek flipboxstudio[.]info/exfil adresine göndermektedir ve delil bırakmamak adına kendisini diskten silmektedir.

Çözüm ve Korunma

Bu tür bir saldırıdan korunmak için, şu adımları izleyebilirsiniz:

• PHP paketlerinizi derhal güncelleyin.
• Güvenlik yamalarını ve en güncel sürümleri kullanmaya özen gösterin.
• Otomatik güncelleme ve izleme sistemlerinizi gözden geçirin.
• Şüpheli veya bilinmeyen kaynaklardan gelen paketleri yüklemekten kaçının.
• Güvenliğinizi artırmak için güvenlik araçları ve izleme yazılımları kullanın.

Unutmayın, düzenli güncellemeler ve dikkatli davranışlar, siber saldırılardan korunmanın en etkili yollarından biridir.

Son dönemde siber saldırganlar, n8n adlı popüler bir yapay zeka iş akışı otomasyon platformunu kullanarak karmaşık fidye yazılımı kampanyaları düzenlemekte ve kötü niyetli yazılımlar göndermektedir. Bu durum, güvenlik açıklarına karşı etkin mücadele için iş akışı otomasyon araçlarının nasıl kötüye kullanılabileceğini göstermektedir.

Saldırı Nasıl Çalışıyor?

Saldırganlar, n8n’in sunduğu webhook özelliğini kullanarak veri toplamakta ve bu yollarla phishing (oltalama) saldırıları düzenlemektedir. Bu süreçte:

• Saldırganlar, n8n üzerinden oluşturulan özel webhook URL’lerini kullanarak oltalama e-postaları gönderir.
• Bu e-postalarda, kullanıcıların tıkladıklarında zararlı yazılımların indirileceği sahte bağlantılar bulunmaktadır.
• Bir kampanya örneğinde, kullanıcıların “paylaşılan belge” gibi görünen bir bağlantıya tıklamaları sağlanarak, bir CAPTCHA doldurduktan sonra zararlı bir dosya indirilmektedir.

Bu yöntemin tehlikeli yanı, saldırganların meşru bir alan adı kullanarak kullanıcıları kandırması ve kötü niyetli içerikleri gizlemesidir.

Etkilenen Sistemler

Cisco Talos araştırmalarına göre, bu saldırılara hedef olan sistemler arasında kullanıcıların cihazları ve e-posta istemcileri bulunmaktadır. Özellikle aşağıdaki sistemler risk altındadır:

• Web uygulamaları – n8n üzerinde çalıştırılan süreçler nedeniyle vazgeçilmez hale gelmektedir.
• Görev otomasyonu – Zararlı yazılımlar barındıran otomatik e-postalar tarafından etkilenmektedir.

E-posta kutularına gönderilen bu zararlı içerikler, kullanıcıların dolandırıcılık ve bilgisayar korsanlığına maruz kalmasına neden olmaktadır.

Çözüm ve Korunma

Siber güvenlik uzmanları, bu tip saldırılara karşı alınabilecek önlemleri aşağıdaki şekilde sıralamaktadır:

• Düzenli güncellemeler yaparak, yazılımların en son sürümlerini kullanın.
• Ağ geçidi ve e-posta filtreleri gibi güvenlik önlemleri uygulayarak, zararlı içerikleri engellemeye çalışın.
• Güvenilir kaynaklardan gelen e-postaları dikkatle değerlendirin ve şüpheli bağlantılara tıklamayın.

Ayrıca, kullanıcıların n8n gibi hizmetler üzerinde güvenlik ayarlarını ve izinleri gözden geçirmeleri önemlidir.

Sonuç

Kullanıcıların, n8n gibi otomasyon platformlarını kullanırken dikkatli olmaları ve potansiyel phishing saldırılarına karşı bilgilendirilmiş bir yaklaşım benimsemeleri gerekmektedir. Bu tür saldırılardan korunmak için yazılımları güncel tutmak, ağ güvenlik önlemlerini artırmak ve bilinçli e-posta kullanımı büyük önem taşımaktadır.

Owlcat’in geliştirdiği “The Expanse: Osiris Reborn”, yapay zekanın oyun geliştirme sürecinde nasıl yer aldığını açıkça ortaya koyan en son örneklerden biri. Fakat bu durum, bazı oyuncular arasında tartışmalara yol açıyor. Crimson Desert geliştiricisi Pearl Abyss, oyunlarının sonunda “kasadan sızan” yapay zeka unsurlarıyla ilgili özür diledi. Bu sorun, daha önce başka yapımlarda da görülen benzer bahanelerle gündeme geldi. İşte bu, yer tutucu materyallerin neden belirgin olması gerektiğini açıklıyor.

Yapay Zekaya Karşı Tepkiler

Oyun dünyasında yapay zeka kullanımı, oyunculardan büyük tepki topluyor. Milyonlarca oyuncunun gözü önünde, yapay zekanın oyunlarına sızdığını görmek, birçok geliştiriciyi bu teknolojiden uzaklaştırmaya yöneltiyor. Elbette yapay zeka, süreçleri kolaylaştıran bir araç olabilir, fakat genellikle oyunlarımızda yer alıyor gibi görünmüyor. Hatta bazı oyunlar, yapay zeka seslendirmelerini bile kaldırmayı tercih ediyor.

Yer Tutucu Materyaller ve Olası Hatalar

Yapay zeka tarafından üretilen içerikler oyunlarda fark edildiğinde, geliştiricilerin sıkça başvurduğu bahanelerden biri bu materyallerin bitmiş oyunda yer almasının beklenmediğidir. Ancak bu durum oldukça mantıksız; zira yer tutucu materyaller, özellikle belirgin olacak şekilde tasarlanmalıdır. Örneğin, “Slay the Spire 2” oyununun erken erişim aşamasında yer tutucu figürleri, grafik stiline uymadıkları için oyunun tam sürümünde yer almayacak şekilde bilinçli olarak oluşturulmuş durumda.

Yaratıcılığı Kısıtlama Sorunu

Yapay zeka kullanmanın alternatif yolları olduğuna dair ihtimal olsa da, bu yaklaşımın yaratıcılığı kısıtladığı aşikar. Sanatçıların özgürce çalışması gereken dönemlerde, yapay zekanın kullanımının yalnızca mevcut materyallere bağımlı kalınmasına yol açacağı düşünülüyor. Yaratıcılığın asıl zorluğu, fikrin hayata geçirilmesinde yatıyor; bu nedenle, neden bu aşamayı yapay zeka ile değiştirmek mantıklı olsun ki?

Çevresel Etkiler ve Gelişen Teknoloji

Yapay zeka teknolojisi kullanımı, geliştirme sürecinde çevresel sorunlara da yol açabiliyor. Bu durum, veri merkezlerinin çevresel etkileri açısından da ciddi sonuçlar doğuruyor. Geliştiricilerin bu sorunları göz önünde bulundurması, sürdürülebilir bir gelecek için oldukça önemli.

Sonuç

Yer tutucu materyaller bazen beklenmeden de oyunun finaline sızabiliyor. Ancak yapay zeka ile üretilen içerikler, genellikle olumsuz bir şekilde algılanıyor ve bu durum geliştiricilerin başını ağrıtıyor. Oyun geliştirme sürecinde yaratıcı düşüncenin engellenip engellenmediği konusunda kararsız kalmak oldukça dikkat çekici. Sizce, yapay zeka kullanımı, geliştiricilerin yaratıcılığına zarar veriyor mu?

Geliştiricilere Yönelik Yeni Bir Tehdit: GlassWorm

Son dönemlerde siber güvenlik alanında meydana gelen gelişmeler, geliştiricilerin hedef alındığını açıkça gösteriyor. Koi Security tarafından yapılan bir araştırma, Visual Studio Code (VS Code) uzantıları aracılığıyla yayılan kendi kendine çoğalan bir solucan saldırısını ortaya çıkardı. Bu saldırı, Open VSX Kaydı ve Microsoft Uzantı Pazarı’nda bulunan uzantılarda tespit edildi. Saldırı, ana tedarik zinciri saldırısı olarak tanımlanıyor ve son bir ay içerisinde DevOps alanında gerçekleşen ikinci benzer olay olarak kaydediliyor.

Saldırının Detayları

Saldırının, “GlassWorm” kod adıyla anıldığı ve özellikle Solana blockchain’inin komut ve kontrol (C2) olarak kullanılmasının dikkat çektiği belirtildi. Bu durum, saldırganların sistemin etkisiz hale getirilmesine karşı daha dirençli olmasını sağlıyor. Araştırmacılar, saldırının Google Takvim’i de bir yedek mekanizma olarak kullandığını vurguluyor. Ancak belki de en ilginç özellik, saldırının “görünmez Unicode karakterleri” kullanarak kötü niyetli kodun kod editörlerinden tamamen kaybolmasını sağlaması. Bu sayede, saldırganlar geliştirme ortamında zararlı kodu gizlemekte oldukça başarılı oluyor.

Saldırının Amacı

GlassWorm saldırısının nihai hedefleri oldukça geniş bir yelpazeye yayılıyor. Saldırganlar, npm, Open VSX, GitHub ve Git kimlik bilgilerini çalmanın yanı sıra toplamda 49 farklı kripto para cüzdan uzantısından fonları boşaltmayı hedefliyorlar. Bunun yanı sıra, geliştirici makinelerini suç faaliyetleri için araç haline getiren SOCKS proxy sunucuları kurma, uzaktan erişim için gizli VNC (HVNC) sunucuları yükleme ve çalınan kimlik bilgilerini kullanarak daha fazla paket ve uzantıyı ele geçirme gibi planları da bulunuyor.

Etkilenen Uzantılar

Saldırı sonucunda 13 uzantı Open VSX’te, biri ise Microsoft Uzantı Pazarı’nda tespit edildi. Bu uzantılar, toplamda yaklaşık 35,800 kez indirildi. Bu uzantılardan bazıları şunlardır:

• codejoy.codejoy-vscode-extension (1.8.3 ve 1.8.4)
• l-igh-t.vscode-theme-seti-folder (1.2.3)
• kleinesfilmroellchen.serenity-dsl-syntaxhighlight (0.3.2)
• JScearcy.rust-doc-viewer (4.2.1)

İlk enfeksiyonların 17 Ekim 2025 tarihinde gerçekleştiği ve bu uzantıların nasıl ele geçirildiği henüz bilinmiyor.

Kötü Amaçlı Kodun Çalışma Prensibi

Kötü amaçlı kod, uzantılar içerisinde gizlenerek, saldırganlar tarafından kontrol edilen Solana blockchain üzerindeki cüzdan işlemlerini arıyor. Eğer bu işlemler tespit edilirse, memo alanından Base64 ile kodlanmış bir dizi kelime çıkarıyor ve bunu C2 sunucusuyla irtibat kurmak için kullanıyor. İkinci aşama payload’u, kimlik bilgilerini, doğrulama token’larını ve kripto para cüzdan verilerini çalan bir bilgi hırsızı olarak görev yapıyor.

Saldırıların Genişlemesi

Sonuç olarak, siber saldırıların giderek daha karmaşık hale geldiği ve yazılım geliştirme ekosisteminde etkisini artırdığı görülüyor. Koi Security’den Idan Dardikman’ın da belirttiği gibi, “Bu, sadece tek seferlik bir tedarik zinciri saldırısı değil. Geliştirici ekosisteminde hızla yayılan bir solucan tasarlandı.” Saldırganların, tedarik zinciri yazılımlarını kendi kendine sürdürebilen bir hale getirmeyi başardıkları, bununla birlikte bireysel paketleri tehdit etmekle kalmayıp, tüm yazılım geliştirme ekosistemine yayılabilen solucanlar oluşturmaya yöneldikleri ifade ediliyor.

Blockchain ve Saldırı Stratejileri

Blockchain teknolojisinin kötü amaçlı payload’lar için kullanılmasının artması, siber suçluların bu tür tekniklere yönelmesine yol açıyor. Bu da pek çok suçlu grubu için yeni fırsatlar yaratıyor. Kuzey Kore’den gelen tehdit aktörlerinin bile bu tekniği, casusluk ve finansal motivasyonlu kampanyalar yürütmek için kullandığı biliniyor.

Bu gelişmeler, yazılım geliştirme dünyasının ne denli tehlikeli bir hale geldiğini gösteriyor. Geliştiricilerin bu tür tehditlere karşı daha dikkatli olması, güvenlik önlemlerini artırması ve sürekli olarak sistemlerini güncel tutmaları büyük bir önem taşıyor.

Güncel Siber Güvenlik Haberleri – 1