Siber güvenlik araştırmacıları, hackerların güvenilir yazılım paketlerinin içine kötü amaçlı yazılım gizlediğini keşfetti. Bu GitHub, AWS, Azure gibi küresel yazılım tedarik zincirleri için risk düşündürüyor.
Enfekte paketler, milyonlarca geliştirici ve şirket tarafından günlük olarak kullanılan dünyanın en büyük yazılım indirme platformlarından biri olan npm aracılığıyla dağıtıldı. Tehlikeye atılmış paketleri bilmeden yükleyen geliştiriciler, son derece hassas dijital kimlik bilgilerini çalabilecek kötü amaçlı yazılımı da bilmeden yüklemiş olabilirler.
Nasıl Çalışıyor?
Saldırganların, meşru kurumsal yazılım altyapısına benzediği için güvenilir görünen bir isim olan @redhat-cloud-services ad alanı ile ilişkili paketlere gizli kötü amaçlı kod yerleştirdiği bildirildi. İndirildikten sonra, kötü amaçlı yazılım şu sistemlerle bağlantılı kimlik bilgilerini toplamaya çalıştı:
- GitHub geliştirici hesapları,
- Amazon Web Services (AWS),
- Microsoft Azure,
- Google Cloud,
- Kubernetes sistemleri,
- Diğer bulut altyapı araçları.
Basitçe söylemek gerekirse, kötü amaçlı yazılım doğrudan sıradan ev kullanıcılarını değil, yazılım sistemlerini ve bulut altyapısını kontrol etmek için geliştiricilerin ve şirketlerin kullandığı dijital anahtarları hedef alıyor.
Bu sıradan insanlar için neden önemli?
İlk bakışta, bu sadece programcıları etkileyen son derece teknik bir sorun gibi görünebilir. Ancak yazılım tedarik zinciri saldırıları, güveni istismar ettikleri için siber saldırıların en tehlikeli biçimlerinden biri haline geldi. Saldırganlar, kullanıcıları tek tek hacklemek yerine, geliştiriciler ve şirketler tarafından kullanılan yazılım araçlarını tehlikeye atıyor. Kötü amaçlı kod daha sonra otomatik olarak aşağı akışta birçok başka sisteme yayılıyor.
Bu bireysel restoranları hedef almak yerine bir gıda fabrikasındaki malzemeleri zehirlemek gibi düşünülebilir. Enfekte yazılım ekosisteme girdikten sonra, etkisi son derece geniş bir alana yayılabilir.
Dijital Dünyanın Gizli Bir Zayıflığı
Modern yazılımlar Lego blokları gibi inşa edilir. Günümüzdeki çoğu uygulama büyük ölçüde açık kaynak paketlerden, harici kütüphanelerdeki, bulut araçlarına ve çevrimiçi depolardan otomatik olarak indirilen üçüncü taraf kodlar tehdit altında.
Geliştiriciler genellikle her kod satırını manuel olarak incelemeden binlerce harici yazılım bileşenini kurarlar. Bu, muazzam bir verimlilik yaratır. Ama aynı zamanda muazzam bir risk de. Saldırganlar güvenilir bir paketi tehlikeye attıklarında, şirketlere, devlet kurumlarına, bulut sistemlerine, finansal altyapıya ve bazen milyonlarca kullanıcıya ulaşabilirler.
SolarWinds Etkisi
Tedarik zinciri saldırıları, saldırganların güvenilir bir yazılım güncelleme sistemini tehlikeye atıp dünya çapında binlerce kuruluşa sızmak için kullandığı büyük SolarWinds siber saldırı olayından sonra küresel olarak üne kavuştu. O zamandan beri, siber güvenlik uzmanları, yazılım tedarik zincirlerinin küresel dijital ekonominin en zayıf noktalarından biri haline geldiği konusunda defalarca uyarıda bulundular.
npm ekosistemi, modern web geliştirmenin büyük ölçüde otomatik paket indirmelerine bağlı olması nedeniyle son yıllarda benzer birçok olayla karşı karşıya kaldı. Saldırganlar giderek daha çok geliştiricileri hedef alıyor. Geliştiriciler artık dünyanın en değerli dijital erişimlerinden bazılarına sahip.
Tek bir ele geçirilmiş geliştirici kimlik bilgisi bazen şunlara erişim sağlayabilir:
- bulut sunucuları,
- kaynak kodu,
- yapay zeka sistemleri,
- üretim altyapısı,
- ödeme sistemleri,
- müşteri veritabanları.
Bu, özellikle yapay zeka ve bulut bilişim çağında tehlikelidir çünkü şirketler kritik sistemleri giderek daha çok çevrimiçi olarak merkezileştiriyor. Güvenlik araştırmacıları, yapay zeka araçlarının yazılım tedarik zinciri saldırılarını önemli ölçüde hızlandırabileceği konusunda uyarıyor.
Yapay zeka, saldırganlara halihazırda, açık kaynak kodlu depoları tarama, güvenlik açığı olan paketleri belirleme, kötü amaçlı kod üretme ve kimlik bilgisi hırsızlığını otomatikleştirmeyi hızlandırabilir.
Aynı zamanda, geliştiriciler giderek daha çok yapay zeka tarafından üretilen kod önerilerine ve otomatik paket önerilerine güveniyor; bu da kötü amaçlı kodun yazılım ekosistemlerinde yayılma hızını potansiyel olarak artırıyor.
Güven, gerçek savaş alanı haline geliyor
Daha derin sorun, modern internetin görünmez güven katmanları üzerinde çalışmasıdır.
Kullanıcılar, uygulama yüklediklerinde, yazılım güncellemeleri aldıklarındaveya çevrimiçi hizmetleri kullandıklarında, altta yatan yazılım tedarik zincirinin güvenli olduğunu varsayarlar. Ancak bu tür saldırılar, güvenilir geliştirici ekosistemlerinin bile tehlikeye atılabileceğini gösteriyor.
Ve yazılım bugün hastaneleri, bankaları, havaalanlarını, hükümetleri, fabrikaları, yapay zeka sistemlerinı ve iletişim ağlarını yönetiyor. Yazılım tedarik zinciri saldırıları sadece teknik sorunlar olarak değil, kritik altyapının kendisine yönelik tehditler olarak görülüyor.
Geleceğin İnterneti İçin Bir Uyarı
Siber güvenlik uzmanları, tedarik zinciri saldırılarının giderek daha yaygın hale geleceğine inanıyor çünkü bu saldırılar, ölçeklenebilir, gizli ve son derece verimli. Doğrudan milyonlarca insana saldırmak yerine, bilgisayar korsanları yazılım ekosisteminin kendisini hedef alabilir ve enfeksiyonun güvenilir dijital kanallar aracılığıyla yayılmasına izin verebilir.
Başka bir deyişle, geleceğin en tehlikeli siber saldırıları, bariz hack’ler veya virüsler yoluyla değil, insanların her gün kullandığı güvenilir yazılım güncellemeleri ve araçları yoluyla gelebilir.
Kaynak : 