Kaspersky telemetri datalarına nazaran, 2025 yılı sonu prestijiyle açık kaynak projelerde tespit edilen ziyanlı paket sayısı yaklaşık 19.500’e ulaştı. Bu sayı, 2024 yılı sonuna kıyasla %37’lik bir artışa işaret ediyor.
Günümüz yazılım geliştirme süreçleri açık kaynak bileşenlerinden bağımsız düşünülemiyor. Lakin açık kaynak yazılımlar, kasıtlı olarak gizlenmiş tehditler barındırabiliyor ve bu durum, ziyanlı paketler içeren eserlerin manipülasyona açık hale gelmesine, tedarik zinciri hücumları da dahil olmak üzere önemli riskler doğurmasına neden olabiliyor. Kaspersky’nin küresel çapta gerçekleştirdiği yeni araştırmaya göre, tedarik zinciri akınları son bir yılda işletmelerin karşı karşıya kaldığı en yaygın siber tehdit çeşidi olarak öne çıkıyor.
Kaspersky, son devirde öne çıkan yüksek profilli tedarik zinciri taarruzlarına dikkat çekiyor:
- Nisan 2026’da, donanım performansını izlemek için dünya genelinde donanım meraklıları, BT yöneticileri ve sistem kurucuları tarafından kullanılan fiyatsız araçlar CPU-Z ve HWMonitor’ün resmi web sitesi ele geçirildi. Bu süreçte, legal yazılım indirmeleri sessizce ziyanlı yazılım içeren suram evraklarıyla değiştirildi. Kaspersky GReAT tahliline göre saldırının faal olduğu müddet yaklaşık 19 saati buldu. Kaspersky telemetrisi, farklı ülkelerde 150’den fazla kullanıcının bu taarruzdan etkilendiğini gösterdi. Etkilenenlerin büyük çoğunluğunu ferdî kullanıcılar oluştururken, bu durum amaç alınan yazılımın tüketici odaklı yapısıyla örtüşüyor. Etkilenen kurumlar ortasında perakende, üretim, danışmanlık, telekomünikasyon ve tarım kesimlerinden kuruluşlar yer aldı.
- Mart 2026’da, en yaygın kullanılan JavaScript HTTP istemcilerinden biri olan Axios gaye alındı. Saldırganlar bir geliştirici hesabını ele geçirerek paketin ziyanlı sürümlerini (1.14.1 ve 0.30.4) yayımladı. Bu sürümlerde Axios’un kendisinde direkt ziyanlı kod bulunmamakla birlikte, art planda çalışan zımnî bir bağımlılık üzerinden çalışan, platformlar ortası bir RAT (uzaktan erişim aracı) devreye sokuldu. Bu araç, bir komuta-kontrol (C&C) sunucusuyla bağlantı kurduktan sonra macOS, Windows ve Linux sistemlerde izlerini silerek gizlendi. Her iki sürüm de saatler içinde kaldırılırken, ilgili bağımlılık süratle güvenlik gerekçesiyle askıya ve incelemeye alındı. Kaspersky GReAT, atağın tekil olmadığını; 2025 yılında Security Analyst Summit’te paylaşılan Bluenoroff’un GhostCall ve GhostHire kampanyalarıyla benzer taktik, teknik ve prosedürler içerdiğini doğruladı.
- Şubat 2026’da, yaygın olarak kullanılan açık kaynak metin ve kod editörü Notepad++’ın geliştiricileri, altyapılarının bir barındırma sağlayıcısından kaynaklanan bir olay nedeniyle ihlal edildiğini açıkladı. Kaspersky GReAT araştırmacıları, bu hücumun ardındaki aktörlerin en az üç farklı enfeksiyon zinciri kullandığını tespit etti. Akın kapsamında Filipinler’de bir kamu kurumu, El Salvador’da bir finans kuruluşu, Vietnam’da bir BT hizmet sağlayıcısı ve farklı ülkelerde ferdî kullanıcılar maksat alındı.
Kaspersky GReAT Rusya ve BDT Bölgesi Başkanı Dmitry Galov konuyla ilgili şunları söyledi: “Yaptığımız araştırmaya nazaran, kurumsal işletmelerin %31’i son 12 ay içinde bir tedarik zinciri saldırısından etkilendi. Bununla birlikte, açık kaynak projelerin güvenlik düzeyi her vakit tescilli yazılım sağlayıcılarının tahlillerinden daha düşük değildir. Kimi durumlarda faal bir açık kaynak topluluğu, güvenlik açıklarını daha süratli tespit edip giderebilirken, kapalı sistemler ekseriyetle sadece iç takımların kontrollerine dayanır. Açık kaynak topluluğu ortaya çıkan riskleri yakından takip ederken, siber güvenlik uzmanları da açık kaynak yazılımlardaki zafiyetleri ve ziyanlı kodları tespit ederek kullanıcıları ve topluluğu süratle bilgilendiriyor. Riskleri büsbütün ortadan kaldırmak mümkün olmasa da güvenlik tahlilleri ve otomatik kod tahlil araçları sayesinde bu riskler değerli ölçüde azaltılabilir.”
Kaspersky, kurumların güvenliğini artırmak için şu adımları öneriyor:
- Açık kaynak bileşenleri izlemek ve potansiyel tehditleri tespit etmek için Kaspersky Open Source Software Threats Veri Feed gibi tahlillerden yararlanın.
- Sürekli izleme sağlayın. Kurum içi kaynaklara bağlı olarak, gerçek vakitli altyapı takibi ve yazılım ile ağ trafiğindeki anomalileri tespit etmek için Kaspersky Next ürün ailesinin modülü olan XDR veya MXDR çözümlerini kullanın.
- Gelişen tehditler hakkında şimdiki kalın. Açık kaynak ekosistemine ait güvenlik bültenlerine ve duyurulara abone olarak tehditlerden erken haberdar olun.
- Bir olay müdahale planı oluşturun. Bu planın tedarik zinciri ataklarını kapsadığından ve ihlallerin süratli halde tespit edilip sonlandırılmasına yönelik adımlar içerdiğinden emin olun. Örneğin, gerekirse tedarikçinin şirket sistemleriyle irtibatını kesmeye yönelik prosedürler belirleyin.
- Tedarikçilerle güvenlik konularında iş birliği yapın. Bu yaklaşım, her iki tarafın da korunma düzeyini artırır ve güvenliği ortak bir öncelik haline getirir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
