Günümüz yazılım geliştirme süreçleri açık kaynak bileşenlerinden bağımsız düşünülemiyor. Ancak açık kaynak yazılımlar, kasıtlı olarak gizlenmiş tehditler barındırabiliyor ve bu durum, zararlı paketler içeren ürünlerin manipülasyona açık hale gelmesine, tedarik zinciri saldırıları da dahil olmak üzere ciddi riskler doğurmasına neden olabiliyor. Kaspersky’nin küresel çapta gerçekleştirdiği yeni araştırmaya göre, tedarik zinciri saldırıları son bir yılda işletmelerin karşı karşıya kaldığı en yaygın siber tehdit türü olarak öne çıkıyor.
Kaspersky, son dönemde öne çıkan yüksek profilli tedarik zinciri saldırılarına dikkat çekiyor:
- Nisan 2026’da, donanım performansını izlemek için dünya genelinde donanım meraklıları, BT yöneticileri ve sistem kurucuları tarafından kullanılan ücretsiz araçlar CPU-Z ve HWMonitor’ün resmi web sitesi ele geçirildi. Bu süreçte, meşru yazılım indirmeleri sessizce zararlı yazılım içeren kurulum dosyalarıyla değiştirildi. Kaspersky GReAT analizine göre saldırının aktif olduğu süre yaklaşık 19 saati buldu. Kaspersky telemetrisi, farklı ülkelerde 150’den fazla kullanıcının bu saldırıdan etkilendiğini gösterdi. Etkilenenlerin büyük çoğunluğunu bireysel kullanıcılar oluştururken, bu durum hedef alınan yazılımın tüketici odaklı yapısıyla örtüşüyor. Etkilenen kurumlar arasında perakende, üretim, danışmanlık, telekomünikasyon ve tarım sektörlerinden kuruluşlar yer aldı.
- Mart 2026’da, en yaygın kullanılan JavaScript HTTP istemcilerinden biri olan Axios hedef alındı. Saldırganlar bir geliştirici hesabını ele geçirerek paketin zararlı sürümlerini (1.14.1 ve 0.30.4) yayımladı. Bu sürümlerde Axios’un kendisinde doğrudan zararlı kod bulunmamakla birlikte, arka planda çalışan gizli bir bağımlılık üzerinden çalışan, platformlar arası bir RAT (uzaktan erişim aracı) devreye sokuldu. Bu araç, bir komuta-kontrol (C&C) sunucusuyla iletişim kurduktan sonra macOS, Windows ve Linux sistemlerde izlerini silerek gizlendi. Her iki sürüm de saatler içinde kaldırılırken, ilgili bağımlılık hızla güvenlik gerekçesiyle askıya ve incelemeye alındı. Kaspersky GReAT, saldırının tekil olmadığını; 2025 yılında Security Analyst Summit’te paylaşılan Bluenoroff’un GhostCall ve GhostHire kampanyalarıyla benzer taktik, teknik ve prosedürler içerdiğini doğruladı.
- Şubat 2026’da, yaygın olarak kullanılan açık kaynak metin ve kod editörü Notepad++’ın geliştiricileri, altyapılarının bir barındırma sağlayıcısından kaynaklanan bir olay nedeniyle ihlal edildiğini açıkladı. Kaspersky GReAT araştırmacıları, bu saldırının arkasındaki aktörlerin en az üç farklı enfeksiyon zinciri kullandığını tespit etti. Saldırı kapsamında Filipinler’de bir kamu kurumu, El Salvador’da bir finans kuruluşu, Vietnam’da bir BT hizmet sağlayıcısı ve farklı ülkelerde bireysel kullanıcılar hedef alındı.
Kaspersky GReAT Rusya ve BDT Bölgesi Başkanı Dmitry Galov konuyla ilgili şunları söyledi:
“Yaptığımız araştırmaya göre, kurumsal işletmelerin %31’i son 12 ay içinde bir tedarik zinciri saldırısından etkilendi. Bununla birlikte, açık kaynak projelerin güvenlik seviyesi her zaman tescilli yazılım sağlayıcılarının çözümlerinden daha düşük değildir. Bazı durumlarda aktif bir açık kaynak topluluğu, güvenlik açıklarını daha hızlı tespit edip giderebilirken, kapalı sistemler genellikle yalnızca iç ekiplerin denetimlerine dayanır. Açık kaynak topluluğu ortaya çıkan riskleri yakından takip ederken, siber güvenlik uzmanları da açık kaynak yazılımlardaki zafiyetleri ve zararlı kodları tespit ederek kullanıcıları ve topluluğu hızla bilgilendiriyor. Riskleri tamamen ortadan kaldırmak mümkün olmasa da güvenlik çözümleri ve otomatik kod analiz araçları sayesinde bu riskler önemli ölçüde azaltılabilir.”
Kaynak : 