Nx “s1ngularity” Tedarik Zinciri Saldırısının Etkileri
Nx, JavaScript ve TypeScript ekosistemlerinde yaygın olarak kullanılan açık kaynaklı bir yapım sistemi ve monorepo yönetim aracıdır. NPM paket indeksinde haftada 5.5 milyon indirme ile dikkat çeken bu araç, son zamanlarda yaşanan bir tedarik zinciri saldırısı ile büyük bir krizin içine girdi. Saldırı, kullanıcı hesaplarının ve depo sırlarının sızmasına yol açtı. Wiz araştırmacılarının yaptığı incelemelere göre, bu olay sonucunda 2,180 adet hesap ve 7,200 adet depo etkilendi.
Bu olayın boyutları oldukça geniştir; çünkü sızan sırların birçoğu hala geçerlidir. Bunun sonucunda saldırının etkileri hâlâ devam etmektedir.
Nx “s1ngularity” Tedarik Zinciri Saldırısı
Saldırı, 26 Ağustos 2025 tarihinde başlamıştır. Saldırganlar, Nx deposundaki hatalı bir GitHub Actions iş akışını kullanarak, NPM üzerinde kötü amaçlı bir paket yayımladı. Bu paket, post-install aşamasında bir kötü amaçlı yazılım scripti (‘telemetry.js’) içermekteydi. Bu yazılım, özellikle Linux ve macOS sistemlerini hedef alarak, GitHub tokenlerini, NPM tokenlerini, SSH anahtarlarını ve gizli .env dosyalarını çalmaya çalıştı.
Sorunlu olan, telemetry.js’nin kurulu komut satırı araçlarını (AI platformları gibi) kullanarak duyarlı kimlik bilgilerini ve sırları LLM (büyük dil modelleri) komutlarıyla arama yapmasıydı. Bu durum saldırının etkisini daha da artırdı. Wiz’in raporuna göre, saldırı boyunca kullanılan komutlar sürekli olarak değiştirildi, bu da saldırganın daha fazla başarı sağlamak için komutları ayarladığını gösteriyor.
Devasa Etki Alanı
Saldırının ilk evresi, 26 ve 27 Ağustos tarihleri arasında gerçekleşti. Bu süreçte, arka kapılı Nx paketleri doğrudan 1,700 kullanıcıyı etkiledi ve 2,000’den fazla benzersiz sır sızdırıldı. Saldırı sonucunda 20,000 dosya enfekte sistemlerden sızdırıldı. GitHub, saldırıdan 8 saat sonra oluşturulan depoları kapatma işlemine geçti; ancak veriler çoktan kopyalanmıştı.
Saldırının ikinci evresi, 28 ve 29 Ağustos tarihlerinde gerçekleşti. Bu dönemde, saldırganlar sızan GitHub tokenlerini kullanarak özel depoları kamuya açtı ve ‘s1ngularity’ ifadesini içerecek şekilde yeniden adlandırdı. Bu durum, 480’e yakın hesabın daha fazla tehlikeye girmesine ve 6,700 özel deponun kamuya açılmasına neden oldu.
Üçüncü evre 31 Ağustos’ta başladı ve burada saldırganlar tek bir hedef organizasyonu hedef aldı. İki ele geçirilmiş hesap kullanılarak ek 500 özel depo yayımlandı.
Nx’in Müdahale Stratejisi
Nx ekibi, GitHub üzerinde yaptığı detaylı bir analizde, saldırının temel sebebinin bir pull request başlığı enjekte edilmesi ve pull_request_target’in güvensiz kullanımı olduğunu belirtti. Bu açığın saldırganların yükseltilmiş izinlerle keyfi kod çalıştırmasına ve Nx’ın yayınlayıcı pipeline’ını tetiklemesine olanak tanıdığı vurgulandı. Saldırı sonrasında kötü amaçlı paketler kaldırıldı, ele geçirilen tokenler iptal edildi ve yenilendi. Ayrıca, tüm yayıncı hesapları için iki faktörlü kimlik doğrulama uygulamaya konuldu.
Bir daha böyle bir saldırının meydana gelmesini engellemek için Nx projesi, NPM’in Trusted Publisher modelini benimsemiştir. Bu model, token tabanlı yayını ortadan kaldırmakta ve PR tetiklenen iş akışları için manuel onay eklemektedir.
Sonuç Olarak Güvenlik Önlemleri
Nx’ın başına gelen bu olay, açık kaynaklı araçların ve sistemlerin ne denli kırılgan olduğunu ortaya koymuştur. Güvenlik önlemleri, bu tür saldırılara karşı büyük bir önem taşımaktadır. Kullanıcıların ve organizasyonların, özellikle açık kaynak araçlarla çalışırken, her zaman dikkatli olmaları ve gerekli güvenlik önlemlerini almaları gerekmektedir.
Ayrıca, bu tür olayların önlenmesinde eğitim ve farkındalık artırmak da kritik bir rol oynamaktadır. Yazılımlar ve sistemler üzerinde sürekli güncellemeler yapmak, güvenlik açıklarını kapatmak ve güçlü şifreleme yöntemleri kullanmak da önemli adımlardandır. Bu saldırı, yalnızca Nx değil, benzer platformlar için de uzanabilir sonuçlar doğurabilmektedir. Dolayısıyla, bu tür sızıntıların önlenmesi için atılacak adımlar hayati öneme sahiptir.
