Günümüz yazılım geliştirme süreçleri açık kaynak bileşenlerinden bağımsız düşünülemiyor. Ancak açık kaynak yazılımlar, kasıtlı olarak gizlenmiş tehditler barındırabiliyor ve bu durum, zararlı paketler içeren ürünlerin manipülasyona açık hale gelmesine, tedarik zinciri saldırıları da dahil olmak üzere ciddi riskler doğurmasına neden olabiliyor.
Küresel çapta gerçekleştirilen yeni araştırmaya göre, tedarik zinciri saldırıları son bir yılda işletmelerin karşı karşıya kaldığı en yaygın siber tehdit türü olarak öne çıkıyor.
Son dönemde öne çıkan yüksek profilli tedarik zinciri saldırıları neler?
Nisan 2026’da, donanım performansını izlemek için dünya genelinde donanım meraklıları, BT yöneticileri ve sistem kurucuları tarafından kullanılan ücretsiz araçlar CPU-Z ve HWMonitor’ün resmi web sitesi ele geçirildi.
Bu süreçte, meşru yazılım indirmeleri sessizce zararlı yazılım içeren kurulum dosyalarıyla değiştirildi. GReAT analizine göre saldırının aktif olduğu süre yaklaşık 19 saati buldu. Farklı ülkelerde 150’den fazla kullanıcının bu saldırıdan etkilendiğini gösterdi. Etkilenenlerin büyük çoğunluğunu bireysel kullanıcılar oluştururken, bu durum hedef alınan yazılımın tüketici odaklı yapısıyla örtüşüyor. Etkilenen kurumlar arasında perakende, üretim, danışmanlık, telekomünikasyon ve tarım sektörlerinden kuruluşlar yer aldı.
Mart 2026’da, en yaygın kullanılan JavaScript HTTP istemcilerinden biri olan Axios hedef alındı. Saldırganlar bir geliştirici hesabını ele geçirerek paketin zararlı sürümlerini (1.14.1 ve 0.30.4) yayımladı. Bu sürümlerde Axios’un kendisinde doğrudan zararlı kod bulunmamakla birlikte, arka planda çalışan gizli bir bağımlılık üzerinden çalışan, platformlar arası bir RAT (uzaktan erişim aracı) devreye sokuldu.
Bu araç, bir komuta-kontrol (C&C) sunucusuyla iletişim kurduktan sonra macOS, Windows ve Linux sistemlerde izlerini silerek gizlendi. Her iki sürüm de saatler içinde kaldırılırken, ilgili bağımlılık hızla güvenlik gerekçesiyle askıya ve incelemeye alındı.
GReAT, saldırının tekil olmadığını; 2025 yılında Security Analyst Summit’te paylaşılan Bluenoroff’un GhostCall ve GhostHire kampanyalarıyla benzer taktik, teknik ve prosedürler içerdiğini doğruladı.
Şubat 2026’da, yaygın olarak kullanılan açık kaynak metin ve kod editörü Notepad++’ın geliştiricileri, altyapılarının bir barındırma sağlayıcısından kaynaklanan bir olay nedeniyle ihlal edildiğini açıkladı. GReAT araştırmacıları, bu saldırının arkasındaki aktörlerin en az üç farklı enfeksiyon zinciri kullandığını tespit etti. Saldırı kapsamında Filipinler’de bir kamu kurumu, El Salvador’da bir finans kuruluşu, Vietnam’da bir BT hizmet sağlayıcısı ve farklı ülkelerde bireysel kullanıcılar hedef alındı.
(Kaynak: CNN)