Kaspersky tedarik zinciri saldırılarındaki yükselişe dikkati çekti

Kaspersky Global Araştırma ve Analiz Ekibi Rusya ve BDT Araştırma Merkezi Başkanı Dmitry Galov: - "Titiz bir inceleme ve gerçek zamanlı izleme olmadan, güvenliği ihlal edilmiş tek bir paket küresel bir ihlali tetikleyebilir"

Kaspersky uzmanları, geçen yılın sonunda açık kaynaklı projelerde tespit edilen zararlı paket sayısının 14 bine ulaşarak bir önceki yıla göre yüzde 48 arttığını bildirdi.

Şirketten yapılan açıklamaya göre, Kaspersky, Tayland'ın Phuket Adası'nda bu yıl onuncusunu düzenlediği Cyber Security Weekend (Siber Güvenlik Haftasonu)-META 2025 Konferansı'nda, açık kaynaklı projelerde tespit edilen zararlı paketlere ilişkin bilgi paylaştı. Şirket, geçen yıl boyunca Kaspersky tarafından güvenlik açığı tespiti amacıyla toplam 42 milyon açık kaynak paket sürümünün incelendiğini kaydetti.

Açık kaynaklı yazılımlar, herkesin erişip geliştirebildiği yapıları nedeniyle yaygın şekilde tercih ediliyor. Geliştiricilere mevcut kodları kullanma kolaylığı sağlayan bu yazılımlar, aynı zamanda siber saldırganlar için bir fırsat alanı oluşturuyor.

Popüler açık kaynak paketleri arasında GoMod, Maven, NuGet, npm, PyPI ve diğerleri bulunuyor. Bunlar sayısız uygulamaya güç veren ve geliştiricilerin önceden oluşturulmuş kod kütüphanelerini kolayca bulmalarına, yüklemelerine ve yönetmelerine yardımcı olan araçlar olarak, başkalarının yazdığı kodu yeniden kullanarak yazılım oluşturmayı kolaylaştırıyor. Saldırganlar bu ve diğer paketlerin popülerliğinden faydalanıyor.

Kaspersky'nin raporuna göre, Lazarus Group'un martta ortadan kaldırılmadan önce, kullanıcı bilgilerini ve kripto para cüzdan verilerini hedef alan çeşitli zararlı npm paketleri dağıttığı tespit edildi. Bu paketler GitHub depoları aracılığıyla daha meşru hale getirilmeye çalışıldı.

Bu paketler kimlik bilgilerini, kripto para cüzdanı verilerini çalmak ve arka kapı dağıtmak için özelleşmiş kötü amaçlı yazılımlar içeriyor ve Windows, macOS ve Linux'taki geliştiricilerin sistemlerini hedef alıyor.

Geçen yıl Linux dağıtımlarında yaygın olarak kullanılan bir sıkıştırma kütüphanesi olan XZ Utils'in 5.6.0 ve 5.6.1 sürümlerinde sofistike bir arka kapı keşfedildi. Güvenilir bir katılımcı tarafından eklenen kötü amaçlı kod, SSH sunucularını hedef alarak uzaktan komut yürütülmesini sağlayarak dünya çapında sayısız sistemi tehdit etti.

Performans anormallikleri nedeniyle yaygın kullanımdan önce tespit edilen olay, tedarik zinciri saldırılarının tehlikelerini vurguluyor.

Kaspersky GReAT, ayrıca ChatGPT API'lerini taklit eden chatgpt-python ve chatgpt-wrapper isimli kötü amaçlı PyPI paketlerini de ortaya çıkardı.

Kimlik bilgilerini çalmak ve arka kapı dağıtmak için tasarlanan bu paketler, geliştiricileri bunları indirmeleri için kandırma amacıyla yapay zeka odaklı geliştirme araçlarının popülerliğinden yararlandı. Bu paketler yapay zeka geliştirme, chatbot entegrasyonları ve veri analizi platformlarında kullanılarak hassas yapay zeka iş akışlarını ve kullanıcı verilerini tehlikeye atmayı hedefliyordu.

Şirket, saldırılara karşı güvende kalmak için, açık kaynak yazılımlardan kaynaklanan tehditlere karşı kurumların önleyici adımlar atmasının önemine işaret etti.

Kaspersky uzmanları, olası gizli tehditlerin erkenden tespit edilebilmesi için kullanılan açık kaynak bileşenlerin sürekli izlenmesini sağlayan güvenlik çözümlerinin devreye alınması gerektiğine vurgulayarak, şu önerilerde bulundu:

Bir tehdit aktörünün şirketinizin altyapısına erişim kazandığından şüpheleniyorsanız, geçmiş veya devam eden saldırıları ortaya çıkarmak için Kaspersky Compromise Assessment hizmetini kullanmanızı öneririz. Paket bakımcılarını doğrulayın. Paketin arkasındaki bakımcının veya kuruluşun güvenilirliğini kontrol edin. Tutarlı sürüm geçmişi, belgeler ve aktif bir sorun izleyici karar vermede yönlendirici olabilir. Güncel tehditler hakkında bilgi sahibi olun. Açık kaynak ekosistemiyle ilgili güvenlik bültenlerine ve tavsiyelerine abone olun. Bir tehdit hakkında ne kadar erken bilgi sahibi olursanız, olası tehditlere o kadar hızlı yanıt verebilirsiniz.

- Saldırı başarılı olmadan önce tedarik zincirini güvence altına alması gerekiyor

Açıklamada görüşlerine yer verilen Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Rusya ve BDT Araştırma Merkezi Başkanı Dmitry Galov, açık kaynaklı yazılımların pek çok modern çözümün bel kemiğini oluşturduğunu belirtti.

Galov, bu açıklığın silah haline de gelebildiğine dikkati çekerek, şu ifadeleri kullandı:

2024'ün sonuna kadar kötü amaçlı paketlerdeki yüzde 50'lik artış, saldırganların milyonlarca kişinin güvendiği popüler paketlere aktif olarak sofistike arka kapılar ve veri hırsızları yerleştirdiğini gösteriyor. Titiz bir inceleme ve gerçek zamanlı izleme olmadan, güvenliği ihlal edilmiş tek bir paket küresel bir ihlali tetikleyebilir. Kurumların, bir sonraki XZ Utils seviyesindeki saldırı başarılı olmadan önce tedarik zincirini güvence altına alması gerekiyor.