Kaspersky, yazılım tedarik zincirlerini maksat alan ziyanlı paketlerde global ölçekte %37 artış tespit etti

Kaspersky telemetri datalarına nazaran, 2025 yılı sonu prestijiyle açık kaynak projelerde tespit edilen ziyanlı paket sayısı yaklaşık 19.500’e ulaştı. Bu sayı, 2024 yılı sonuna kıyasla %37’lik bir artışa işaret ediyor.

Günümüz yazılım geliştirme süreçleri açık kaynak bileşenlerinden bağımsız düşünülemiyor. Lakin açık kaynak yazılımlar, kasıtlı olarak gizlenmiş tehditler barındırabiliyor ve bu durum, ziyanlı paketler içeren eserlerin manipülasyona açık hale gelmesine, tedarik zinciri taarruzları da dahil olmak üzere önemli riskler doğurmasına neden olabiliyor. Kaspersky’nin küresel çapta gerçekleştirdiği yeni araştırmaya göre, tedarik zinciri atakları son bir yılda işletmelerin karşı karşıya kaldığı en yaygın siber tehdit çeşidi olarak öne çıkıyor.

Kaspersky, son devirde öne çıkan yüksek profilli tedarik zinciri hücumlarına dikkat çekiyor:

• Nisan 2026’da, donanım performansını izlemek için dünya genelinde donanım meraklıları, BT yöneticileri ve sistem kurucuları tarafından kullanılan fiyatsız araçlar CPU-Z ve HWMonitor’ün resmi web sitesi ele geçirildi. Bu süreçte, legal yazılım indirmeleri sessizce ziyanlı yazılım içeren suram belgeleriyle değiştirildi. Kaspersky GReAT tahliline göre saldırının etkin olduğu mühlet yaklaşık 19 saati buldu. Kaspersky telemetrisi, farklı ülkelerde 150’den fazla kullanıcının bu akından etkilendiğini gösterdi. Etkilenenlerin büyük çoğunluğunu ferdî kullanıcılar oluştururken, bu durum gaye alınan yazılımın tüketici odaklı yapısıyla örtüşüyor. Etkilenen kurumlar ortasında perakende, üretim, danışmanlık, telekomünikasyon ve tarım bölümlerinden kuruluşlar yer aldı.
• Mart 2026’da, en yaygın kullanılan JavaScript HTTP istemcilerinden biri olan Axios maksat alındı. Saldırganlar bir geliştirici hesabını ele geçirerek paketin ziyanlı sürümlerini (1.14.1 ve 0.30.4) yayımladı. Bu sürümlerde Axios’un kendisinde direkt ziyanlı kod bulunmamakla birlikte, art planda çalışan zımnî bir bağımlılık üzerinden çalışan, platformlar ortası bir RAT (uzaktan erişim aracı) devreye sokuldu. Bu araç, bir komuta-kontrol (C&C) sunucusuyla irtibat kurduktan sonra macOS, Windows ve Linux sistemlerde izlerini silerek gizlendi. Her iki sürüm de saatler içinde kaldırılırken, ilgili bağımlılık süratle güvenlik gerekçesiyle askıya ve incelemeye alındı. Kaspersky GReAT, hücumun tekil olmadığını; 2025 yılında Security Analyst Summit’te paylaşılan Bluenoroff’un GhostCall ve GhostHire kampanyalarıyla benzer taktik, teknik ve prosedürler içerdiğini doğruladı.
• Şubat 2026’da, yaygın olarak kullanılan açık kaynak metin ve kod editörü Notepad++’ın geliştiricileri, altyapılarının bir barındırma sağlayıcısından kaynaklanan bir olay nedeniyle ihlal edildiğini açıkladı. Kaspersky GReAT araştırmacıları, bu akının gerisindeki aktörlerin en az üç farklı enfeksiyon zinciri kullandığını tespit etti. Akın kapsamında Filipinler’de bir kamu kurumu, El Salvador’da bir finans kuruluşu, Vietnam’da bir BT hizmet sağlayıcısı ve farklı ülkelerde kişisel kullanıcılar gaye alındı.

Kaspersky GReAT Rusya ve BDT Bölgesi Başkanı Dmitry Galov konuyla ilgili şunları söyledi: “Yaptığımız araştırmaya nazaran, kurumsal işletmelerin %31’i son 12 ay içinde bir tedarik zinciri saldırısından etkilendi. Bununla birlikte, açık kaynak projelerin güvenlik düzeyi her vakit tescilli yazılım sağlayıcılarının tahlillerinden daha düşük değildir. Kimi durumlarda faal bir açık kaynak topluluğu, güvenlik açıklarını daha süratli tespit edip giderebilirken, kapalı sistemler çoklukla sırf iç grupların kontrollerine dayanır. Açık kaynak topluluğu ortaya çıkan riskleri yakından takip ederken, siber güvenlik uzmanları da açık kaynak yazılımlardaki zafiyetleri ve ziyanlı kodları tespit ederek kullanıcıları ve topluluğu süratle bilgilendiriyor. Riskleri büsbütün ortadan kaldırmak mümkün olmasa da güvenlik tahlilleri ve otomatik kod tahlil araçları sayesinde bu riskler değerli ölçüde azaltılabilir.”

Kaspersky, kurumların güvenliğini artırmak için şu adımları öneriyor:

Göz Atın

Hyundai Motor Kümesi, ‘Pleos Connect’ ile Araç İçi Tecrübesi Tekrar Tanımlıyor

Tek bir tesis koca bir orduya yetiyor! Sarsılmaz’ın dev üretim üssünde her şey yerli!

Kayseri’nin esaslı firması Bakır Beton, operasyonel gücünü 20 adet MAN ile pekiştirdi

• Açık kaynak bileşenleri izlemek ve potansiyel tehditleri tespit etmek için Kaspersky Open Source Software Threats Veri Feed gibi tahlillerden yararlanın.
• Sürekli izleme sağlayın. Kurum içi kaynaklara bağlı olarak, gerçek vakitli altyapı takibi ve yazılım ile ağ trafiğindeki anomalileri tespit etmek için Kaspersky Next ürün ailesinin modülü olan XDR veya MXDR çözümlerini kullanın.
• Gelişen tehditler hakkında aktüel kalın. Açık kaynak ekosistemine ait güvenlik bültenlerine ve duyurulara abone olarak tehditlerden erken haberdar olun.
• Bir olay müdahale planı oluşturun. Bu planın tedarik zinciri ataklarını kapsadığından ve ihlallerin süratli halde tespit edilip sonlandırılmasına yönelik adımlar içerdiğinden emin olun. Örneğin, gerekirse tedarikçinin şirket sistemleriyle irtibatını kesmeye yönelik prosedürler belirleyin.
• Tedarikçilerle güvenlik konularında iş birliği yapın. Bu yaklaşım, her iki tarafın da korunma düzeyini artırır ve güvenliği ortak bir öncelik haline getirir.

Kaynak: (BYZHA) Beyaz Haber Ajansı