Kaspersky, yazılım tedarik zincirlerini tehdit eden ziyanlı paketlerde %48’lik bir artış olduğuna dikkat çekti

Kaspersky’nin 10. yıllık Siber Güvenlik Hafta Sonu – META 2025 etkinliğinde, şirketin Küresel Araştırma ve Tahlil Grubu uzmanları, 2024 yılı sonunda açık kaynaklı projelerde toplam 14 bin makus gayeli paketin tespit edildiğini bildirdi. Bu sayı, 2023 yılının sonuna kıyasla %48’lik bir artışa işaret ediyor. 2024 yılı boyunca 42 milyon açık kaynak paket sürümü Kaspersky tarafından güvenlik açıklarını bulmak için incelendi.

Açık kaynak, herkesin inceleyebileceği, değiştirebileceği ve geliştirebileceği kaynak kodlu bir yazılım. Tanınan açık kaynak paketleri ortasında GoMod, Maven, NuGet, npm, PyPI ve başkaları bulunuyor. Bunlar sayısız uygulamaya güç veren ve geliştiricilerin evvelden oluşturulmuş kod kütüphanelerini basitçe bulmalarına, yüklemelerine ve yönetmelerine yardımcı olan araçlar olarak, oburlarının yazdığı kodu tekrar kullanarak yazılım oluşturmayı kolaylaştırıyor. Saldırganlar bu ve öbür paketlerin popülerliğinden faydalanıyor.

Lazarus Group’un Mart 2025’te ortadan kaldırılmadan evvel birden çok sefer indirilen birkaç makus hedefli npm paketi dağıttığı bildirildi. Bu paketler kimlik bilgilerini, kripto para cüzdanı datalarını çalmak ve art kapı dağıtmak için özelleşmiş makus maksatlı yazılımlar içeriyordu ve Windows, macOS ve Linux’taki geliştiricilerin sistemlerini gaye alıyordu. Akın, daha fazla meşruiyet için GitHub depolarından yararlandı ve kümenin sofistike tedarik zinciri taktiklerini ortaya koydu. Kaspersky GReAT, bu hücumla ilgili öbür npm paketleri de buldu. Makus emelli npm paketleri web geliştirme, kripto para platformları ve kurumsal yazılımlara entegre edilerek yaygın data hırsızlığı ve mali kayıp riskine yol açmış olabilir.

2024 yılında, Linux dağıtımlarında yaygın olarak kullanılan bir sıkıştırma kütüphanesi olan XZ Utils’in 5.6.0 ve 5.6.1 sürümlerinde sofistike bir art kapı keşfedildi. Emniyetli bir iştirakçi tarafından eklenen makûs gayeli kod, SSH sunucularını gaye alarak uzaktan komut yürütülmesini sağladı ve dünya çapında sayısız sistemi tehdit etti. Performans anormallikleri nedeniyle yaygın kullanımdan evvel tespit edilen olay, tedarik zinciri taarruzlarının tehlikelerini vurguluyor. XZ Utils işletim sistemlerinin, bulut sunucularının ve IoT aygıtlarının ayrılmaz bir modülü. Bu da tehlikeye atılmasını kritik altyapı ve kurumsal ağlar için kıymetli bir tehdit haline getiriyor.

2024’te Kaspersky GReAT, saldırganların ChatGPT API’leriyle etkileşim için legal araçları taklit eden chatgpt-python ve chatgpt-wrapper üzere makus maksatlı Python paketlerini PyPI’ya yüklediğini keşfetti. Kimlik bilgilerini çalmak ve art kapı dağıtmak için tasarlanan bu paketler, geliştiricileri bunları indirmeleri için kandırma hedefiyle yapay zeka odaklı geliştirme araçlarının popülerliğinden yararlandı. Bu paketler yapay zeka geliştirme, chatbot entegrasyonları ve bilgi tahlili platformlarında kullanılarak hassas yapay zeka iş akışlarını ve kullanıcı datalarını tehlikeye atmayı hedefliyordu.

Kaspersky Küresel Araştırma ve Tahlil Grubu Rusya ve BDT Araştırma Merkezi Başkanı Dmitry Galov, şunları söyledi: “Açık kaynaklı yazılımlar pek çok çağdaş tahlilin bel kemiğini oluşturuyor. Fakat bu açıklık silah haline de gelebiliyor. 2024’ün sonuna kadar berbat gayeli paketlerdeki %50’lik artış, saldırganların milyonlarca kişinin güvendiği tanınan paketlere faal olarak sofistike art kapılar ve data hırsızları yerleştirdiğini gösteriyor. Titiz bir inceleme ve gerçek vakitli izleme olmadan, güvenliği ihlal edilmiş tek bir paket global bir ihlali tetikleyebilir. Kurumların, bir sonraki XZ Utils düzeyindeki hücum başarılı olmadan evvel tedarik zincirini teminat altına alması gerekiyor.”

Kaspersky, inançta kalmak için şunları öneriyor:

• Olası saklı tehditleri tespit etmek için kullanılan açık kaynaklı bileşenleri izlemeye yönelik bir tahlil kullanın.
• Bir tehdit aktörünün şirketinizin altyapısına erişim kazandığından şüpheleniyorsanız, geçmiş yahut devam eden hücumları ortaya çıkarmak için Kaspersky Compromise Assessment hizmetini kullanmanızı öneririz.
• Paket bakımcılarını doğrulayın. Paketin ardındaki bakımcının yahut kuruluşun güvenilirliğini denetim edin. Dengeli sürüm geçmişi, evraklar ve etkin bir sorun izleyici karar vermede yönlendirici olabilir.
• Güncel tehditler hakkında bilgi sahibi olun. Açık kaynak ekosistemiyle ilgili güvenlik bültenlerine ve tavsiyelerine abone olun. Bir tehdit hakkında ne kadar erken bilgi sahibi olursanız, mümkün tehditlere o kadar süratli cevap verebilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı