Siber Güvenlik

NPM Tedarik Zinciri Saldırısı: Ne Oldu ve Nasıl Düzeltilebilir

mm
Yayınlandı
Güncellendi
Securities.io maintains rigorous editorial standards and may receive compensation from reviewed links. We are not a registered investment adviser and this is not investment advice. Please view our affiliate disclosure.
Digital vault being cracked open

Kripto para endüstrisi ve genel dünya, güvenlik uzmanlarının Node.js ekosistemini hedef alan ve zaten 18 npm paketini etkileyen bir tedarik zinciri saldırısını tespit ettiklerinde yakın zamanda bir korku anı yaşadı.

Bunun nedeni, bu birkaç paketin haftada milyarlarca indirme almasıdır.

Yazılım paketleri kullanılır üçüncü taraf yazılımları dağıtmak için. Genellikle bir paket yöneticisi aracılığıyla harici bir kaynaktan çekilen bu paketler, kaynak kodu, kütüphaneler, dokümantasyon ve yazılımı oluşturmak ve çalıştırmak için gereken diğer dosyaları içerir.

Şimdi, kötü amaçlı yazılım içeren bir paket kendisini meşru bir paket gibi gösteriyor, aslında ise yazılımı enfekte etmeyi amaçlayan kötü niyetli bir paket. Sisteme girdiğinde, kötü amaçlı paket içindeki kötü yazılım dosyaları değiştirebilir, veri çalabilir ve hatta saldırganın istediği gibi tüm sistemi ele geçirebilir.

Python ve .NET gibi diğer büyük açık kaynak ekosistemleri de saldırılara aynı derecede savunmasızken, JavaScript’in geniş kullanımı onu özellikle siber suçlulara açık hale getiriyor.

Node.js, JavaScript üzerine inşa edilmiş açık kaynaklı bir çalışma ortamıdır ve geliştiricilerin kodlarını web tarayıcısı dışında çalıştırmalarını sağlar. 

Geleneksel olarak, web sayfalarını etkileşimli hâle getirmeye yardımcı olmasıyla bilinen yorumlanan programlama dili öncelikle tarayıcılar içinde istemci tarafı web geliştirmede kullanılıyordu, ancak Node.js, JavaScript’in kullanımını sunucu tarafına ve diğer uygulamalara genişletti.

Node.js ile geliştiriciler web sunucuları, API’ler, araçlar ve daha fazlası gibi hızlı ve ölçeklenebilir uygulamalar oluşturabilir.

npm üzerinden erişilebilen geniş açık kaynak kütüphane ve araç ekosisteminden faydalanır; bu da geliştirmeyi basitleştirir ve çeşitli işlevler için çözümler sunar.

Node Package Manager, yani npm, JavaScript geliştirmesinde kilit bir araçtır ve kullanılır kod paketlerini bulmak, oluşturmak ve yönetmek için. Bağımlılıkların yönetilmesine, iş birliğinin sağlanmasına ve iş akışlarının düzenlenmesine yardımcı olur. 

Dünyanın en büyük Yazılım Kayıt Defteri, 3 milyondan fazla kod paketi içerir ve tamamen ücretsizdir. 

Herhangi bir kişi, kayıt olmadan tüm npm açık kaynak yazılım paketlerini indirebilir. Açık kaynak geliştiricileri npm’yi yazılım paylaşmak ve ödünç almak için kullanırken, birçok kuruluş özel geliştirmeleri yönetmek için kullanır.

npm’yi bilgisayarınıza kurmak için önce Node.js’i kurmanız gerekir.

JavaScript için paket yöneticisi, dünyanın önde gelen yazılım geliştirme platformu GitHub’un bir yan kuruluşu olan npm, Inc. tarafından sürdürülmektedir; GitHub 2018’de Microsoft tarafından 7,5 milyar dolar karşılığında satın alınarak geliştiricileri güçlendirmek amacıyla sahiplenmiştir. 

Geçen hafta, dünya çapında 17 milyondan fazla geliştiricinin güvendiği araç tehlikeye girdi, internette panik yarattı, ancak uzmanlar bunu erken fark etti ve saldırganlar 50 dolardan fazla bir şey çalamadı. İşte ne oldu!

NPM Tedarik Zinciri Saldırısında Ne Oldu (Eyl 2025)

JavaScript ekosisteminde gerçekleşen büyük tedarik zinciri saldırısında, hackerlar bir dizi npm paketini kötü amaçlı yazılımla etkiledi. Saldırının amacı, farkında olmayan kullanıcıların dijital varlıklarını çalmaktı. 

Özellikle, geliştirici ‘qix’ in npm hesabı hacklendi. 

Qix, açık kaynak bakım hesabıdır ve bir phishing saldırısı ile ele geçirildi. Bu saldırganların 18 popüler npm paketine kötü amaçlı kod enjekte etmesine izin verdi. Birlikte, bu paketler haftada yüz milyonlarca kez indirilir çünkü çerçevelere, geliştirici araçlarına ve üretim hizmetlerine gömülüdür.

Etkilenen paketler arasında en popüler olanlardan bazıları olan chalk, debug, color-name, wrap-ansi ve ansi-styles bulunurken, daha az popüler npm paketleri arasında backslash, chalk-template ve has-ansi yer alıyor.
Kaydırmak için kaydır →

Paket Etkilenen sürüm(ler) Eylem
debug 4.4.2 4.4.2 öncesine sabitle; yeniden kur; derleme günlüklerini tara
chalk 5.6.1 5.6.1 öncesine sabitle; temiz derleme ile yeniden dağıt
ansi-styles 6.2.2 6.2.2 öncesine sabitle; aşağı akış bağımlılıklarını denetle
ansi-regex 6.2.1 6.2.1 öncesine sabitle
strip-ansi 7.1.1 7.1.1 öncesine sabitle
wrap-ansi 9.0.1 9.0.1 öncesine sabitle
color, color-convert, color-string, color-name 5.0.1 / 3.1.1 / 2.1.1 / 2.0.1 listelenen sürümlerin öncesine sabitle; yeniden kilitle ve yeniden derle
has-ansi, supports-color, slice-ansi 6.0.1 / 10.2.1 / 7.1.1 listelenen sürümlerin öncesine sabitle
backslash, is-arrayish, error-ex, simple-swizzle, chalk-template, supports-hyperlinks 0.2.1 / 0.3.3 / 1.3.3 / 0.2.3 / 1.1.1 / 4.1.1 listelenen sürümlerin öncesine sabitle
duckdb, @duckdb/node-api, @duckdb/node-bindings, @duckdb/duckdb-wasm 1.3.3 / 1.3.3 / 1.3.3 / 1.29.2 listelenen sürümlerden kaçının; satıcı güncellemelerini bekleyin

Etkilenen tüm paketler npm kayıt defteri tarafından kaldırıldı. Yüksek değerli bir açık kaynak bakımcısını etkileyerek, saldırı açık kaynak yazılım (OSS) ekosistemindeki güveni silah haline getirdi; çünkü geliştiriciler kullandıkları her bağımlılığı denetlemiyor.Yaptıkları şey, kullanım ve itibarına, ayrıca kayıt defterlerinin güvenliğine dayanmak.

NPM Supply Chain Attack Tweet

Paketleri etkileyebilmek için hacker phishing yolunu izledi. Saldırgan önce bir phishing kampanyası başlatarak bir npm paket bakımcısının hesabını ele geçirdi, ardından etkilenmiş sürümlerini yüklemeden önce npm paketlerine kötü amaçlı kod enjekte etti.

Geliştirici Josh Junon, npm’i taklit eden daha büyük bir kampanyanın parçası olan bir phishing e-postasına kurban giden kişiydi. Saldırganlar, npm’in giriş sayfasını taklit eden bir phishing sitesi kullanarak kimlik bilgilerini çaldı. Saldırganlar içeri girdikten hemen sonra, Junon’un npm hesabındaki e-posta adresini değiştirerek hesabını kilitledi.

“Merhaba, evet hacklendim. Özür dilerim herkese, çok utanç verici,” yazdı Junon HackerNews’ta, olayı doğrulayarak. Sadece npm’in etkilendiğini açıklamadan önce şunu belirtti:

“İlk bakışta meşru göründü. Bahane üretmiyorum, sadece uzun bir hafta ve panik bir sabah geçirdim ve yapılacaklar listemden bir şeyi çıkarmaya çalışıyordum. Siteye doğrudan gitmek yerine linke tıklama hatasını yaptım.” 

Phishing e-postası support [at] npmjs [dot] help adresinden gelmiş ve Junon’u linke tıklamaya ikna etmek için korkutma taktiği kullanmış; bu da onu phishing sitesine yönlendirmiş.

npm’den geliyormuş gibi davranarak, saldırganlar ona 2FA kimlik bilgilerini güncellemesini istedi, bunun “hesap güvenliğine devam eden bir taahhüt” olduğunu iddia ederek ve aynı talebin tüm kullanıcılar için olduğunu söyledi. 

“Kayıtlarımız, son 2FA güncellemenizin 12 aydan fazla bir süredir gerçekleşmediğini” belirtti phishing e-postası, ayrıca “eski 2FA kimlik bilgilerine sahip olanlar 10 Eylül 2025 tarihinden itibaren geçici olarak kilitlenecek, yetkisiz erişimi önlemek için” ekledi.

Aynı e-posta diğer paket bakımcılarını ve geliştiricileri hedeflemek için de kullanıldı.

Etkilenen paketlerin geniş kullanımı göz önüne alındığında, bu bu kadar hızlı ele alınmasaydı büyük bir olay haline gelebilirdi.

Aikido Security’den Charlie Erickson, bir raporda belirtti, npm paketlerinin bir web sitesinin istemcisinde çalışacak bir kod parçası içerdiği bu saldırıdan sayısız web sitesinin çok ciddi zararlardan kaçındığını.

“Bu kötü yazılım temelde ağ trafiğini ve uygulama API’lerini ele geçiren tarayıcı tabanlı bir müdahaledir,” diye belirtti saldırı analizinde. “Onu tehlikeli kılan, birden fazla katmanda çalışmasıdır: web sitelerinde gösterilen içeriği değiştirmek, API çağrılarını manipüle etmek ve kullanıcıların uygulamalarının ne imzaladığını manipüle etmek. Arayüz doğru görünse bile, alttaki işlem arka planda yönlendirilir.

Kötü amaçlı kod tasarlandı kripto para çalmak için. Saldırgan, kripto cüzdan adresleri için dizeleri tarar ve kriptoyla ilgili uygulamalarda çalışanları riske atar.

Kötü yazılım, kullanıcının farkında olmadan tarayıcı içinde sessizce çalışarak cüzdan adreslerini yeniden yazar ve fonları saldırganın kontrolündeki hesaplara yönlendirir. Etkilenen bir sistemde Bitcoin (BTC ), Ethereum (ETH ), Solana (SOL ), Tron (TRX ), Litecoin (LTC ), ve Bitcoin Cash (BCH ) işlemlerini doğrudan ele geçirir ve manipüle eder.

Bunu yapmak için, kötü amaçlı kod tarayıcı uygulama programlama arayüzlerini (API) gibi fetch ve window.ethereum gibi cüzdan arayüzlerini izledi.

Kötü amaçlı kod, “tarayıcıda kripto ve Web3 etkinliğini sessizce engeller, cüzdan etkileşimlerini manipüle eder ve ödeme hedeflerini yeniden yazar, böylece fonlar ve onaylar yönlendirilir kullanıcıya belirgin bir işaret göstermeden saldırganın kontrolündeki hesaplara,” dedi Erickson.

Tamamlandığında, kötü yazılım izlerini gizler ve hâlâ arka planda kalıp kurbanın ağındaki gelecekteki işlemleri yakalamaya devam eder.

Saldırının ciddiyeti göz önüne alındığında, donanım cüzdan sağlayıcısı Ledger’in CTO’su Charles Guillemet, kripto kullanıcılarını zincir üzerindeki işlemleri onaylarken dikkatli olmaları konusunda uyardı. Etkilenen paketlerin, gönderide belirttiği gibi, zaten 1 milyardan fazla kez indirildi.

Toplulukla paylaştığı büyük ölçekli tedarik zinciri saldırısı, kripto yazılım cüzdanlarını hedef alıyor kötü amaçlı yük ile bu “gerçek zamanlı olarak kripto adreslerini sessizce değiştirerek fonları çalıyor.” 

“Donanım cüzdanı kullanıyorsanız, imzalamadan önce her işlemi dikkatle inceleyin ve güvende olursunuz. Donanım cüzdanı kullanmıyorsanız, şu an için zincir üzerindeki hiçbir işlem yapmaktan kaçının.”

– Guillemet

Bu arada, DefiLlama adlı kripto analiz platformunun takma adlı kurucusu 0xngmi, X’e giderek paylaştı ki “etkili etki alanı tüm web sitelerinden çok daha küçüktür”, çünkü yalnızca bu paket yayınlandıktan sonra güncellenen projeler risk altındadır kötü amaçlı yazılımla enfekte olmuş npm paketi yayınlandı. Yine de, “bu sorun geçene ve kötü paketler temizlenene kadar kripto web sitelerini kullanmaktan kaçınmak daha güvenli”, diye ekledi.

Sonuçta, hackerlar bu kadar büyük bir tedarik zinciri saldırısından sadece 50 dolar değerinde kripto para çalabildi. Bu 50 dolar, Ether ve Brett ve Andy gibi bir dizi meme coin’i içeriyor.

Got only $50?

 

Ancak, kripto istihbarat platformu Security Alliance X’te şunları belirtti:

“Bu çok daha kötü olabilirdi. Kalıcılığa odaklanan geliştirici makinelerini hedef alan gizlice dağıtılan bir arka kapı, ne kadar uzun süre radar altında kalabileceği bilinmez bir sürede kalabilirdi.”

O zamandan beri, birçok kripto uygulama örneğin Aave, Uniswap, Ledger, Jupiter, MetaMask, Phantom, Blast, ve diğerleri izleyicilerine npm saldırısından güvende olduklarını bildirdi.

Saldırı başarısız olsa da, geliştiricilere en üst düzey güvenlik için kendi kod tabanlarının ötesine geçmeleri gerektiğini açıkça hatırlatıyor. Güvenilen ve yaygın kullanılan yazılım bağımlılıkları da her zaman etkilenebilir.

Burada, GitHub ve npm gibi kodlama platformlarının da yaygın kullanılan paketlerin güvenliğini sağlamak için daha fazlasını yapması gerekiyor.

“Daha popüler paketlerin, güvenilir bir kaynaktan geldiğine dair onay gerektirmesi ve sadece internet üzerindeki rastgele bir yerden gelmemesi gerekir.”

– Eriksen

One of the best things npm could do

Kod deposunun ele geçirilmesi, sonuçta geliştiriciler için son derece felaket olabilir; bu tür bir olay sonucunda tüm projelerinden tamamen vazgeçebilirler.

Olay, günümüz yazılım ekosisteminin ne kadar birbirine bağlı ve sömürüye karşı savunmasız olduğunu gösteren bir kanıttır. Tek bir etkilenmiş hesap, saldırganlara büyük bir erişim sağlayabilir; bu da geliştirme sürecinin her aşamasında geliştirilmiş tedarik zinciri güvenlik önlemlerinin uygulanmasını kritik hâle getirir.

Kötü Yazılımların Hızla Artan Tehdidine Karşı Korunma 

Kötü yazılım tehditleri artarken ve saldırılar daha gelişmiş ve hedefli hâle geliyor, bu yüzden kullanıcıların öğrenmesi ve her zaman tüm platformlarda dikkatli olması

Kötü amaçlı yazılım ya da malware, aslında en yaygın siber saldırı türlerinden biridir. Burada, saldırganlar, kurbanın bilgisayarına erişim sağlamak ya da zarar vermek amacıyla, kurbanın farkında olmadan etkilenmiş bir yazılım kodu ya da bilgisayar programı geliştirirler. 

Her yıl, dünya genelinde tüm cihaz ve işletim sistemlerinde milyarlarca malware saldırısı gerçekleşir. Malware kullanarak siber suçlular sadece cihazları değil, tüm kurumsal ağları rehin alır.

Kurbanın cihazlarına yetkisiz erişim sağlayarak, saldırganlar giriş kimlik bilgileri, kredi kartı numaraları ve diğer değerli bilgiler çalar. Malware saldırıları, şirketlerin büyük miktarda kişisel veri tutması nedeniyle giderek daha fazla işletmeleri hedef alıyor; bu da hackerların büyük meblağlar talep etmek için suistimal edebileceği anlamına geliyor. 

Veriler, 2024 yılında kuruluşların çoğunluğu (%59) böyle bir saldırıya maruz kaldı. Daha küçük şirketler bile güvende değil; geçen yıl %47’si fidye yazılımı tarafından hedef alındı. Bu süre zarfında ortalama fidye ödemesi %500 artarak 2 milyon dolar oldu. 

Malware saldırısından kurtulmanın ortalama maliyeti 2,73 milyon dolara kadar yükseldi. İnternetin şu anda karşı karşıya olduğu en büyük tehditlerden biri malware’dir, bu, bilgisayar sistemlerine ve kullanıcılarına zarar vermek amacıyla çeşitli biçimler alabilir.

<span data-preserver-sp

mm

Gaurav 2017 yılında kripto para birimleri ile ticaret yapmaya başladı ve o günden beri kripto para birimleri alanına aşık oldu. Her şeyden kripto para birimi olan ilgi alanı, onu kripto para birimleri ve blockchain konusunda uzmanlaşmış bir yazar haline getirdi. Yakında kendini kripto para birimi şirketleri ve medya kuruluşları ile çalışırken buldu. Ayrıca büyük bir Batman hayranı.