Küresel siber güvenlik şirketi Kaspersky’nin telemetri verileri, yazılım tedarik zincirlerine yönelik saldırılarda endişe verici bir sıçramaya işaret ediyor. 2025 yılı sonu itibarıyla açık kaynak projelerde tespit edilen zararlı paket sayısı yaklaşık 19.500’e ulaştı. Bu rakam, bir önceki yıla göre yüzde 37’lik bir artış anlamına geliyor. Saldırganların, meşru yazılımların içine gizlenmiş kötü amaçlı kodlar aracılığıyla binlerce işletmeyi ve bireysel kullanıcıyı hedef aldığı belirtiliyor.
Günümüzde yazılım geliştirme süreçlerinin neredeyse tamamı açık kaynak bileşenlerine dayanıyor. Ancak bu bağımlılık, beraberinde ciddi güvenlik riskleri de getiriyor. Kaspersky’nin küresel çapta gerçekleştirdiği yeni araştırma, tedarik zinciri saldırılarını son bir yılda işletmelerin karşılaştığı en yaygın siber tehdit türü olarak tanımlıyor. Araştırmaya göre, kurumsal işletmelerin yüzde 31’i son 12 ay içinde bir tedarik zinciri saldırısından etkilendi.
Yüksek Profilli Saldırılar: CPU-Z, Axios ve Notepad++
Kaspersky, son dönemde öne çıkan üç büyük tedarik zinciri saldırısını detaylandırdı. Nisan 2026’da, donanım performans izleme araçları CPU-Z ve HWMonitor’ün resmi web sitesi ele geçirildi. Meşru yazılım indirmeleri, fark edilmeden zararlı yazılım içeren kurulum dosyalarıyla değiştirildi. Kaspersky GReAT analizine göre saldırı yaklaşık 19 saat boyunca aktif kaldı. Telemetri verileri, 150’den fazla kullanıcının etkilendiğini gösterirken, mağdurların büyük çoğunluğunu bireysel kullanıcılar oluşturdu. Etkilenen kurumlar arasında perakende, üretim, danışmanlık, telekomünikasyon ve tarım sektörlerinden şirketler yer aldı.
Mart 2026’da ise popüler JavaScript HTTP istemcisi Axios hedef alındı. Saldırganlar bir geliştirici hesabını ele geçirerek paketin 1.14.1 ve 0.30.4 sürümlerini yayımladı. Bu sürümlerde Axios’un kendisinde doğrudan zararlı kod bulunmazken, arka planda çalışan gizli bir bağımlılık üzerinden platformlar arası bir RAT (uzaktan erişim aracı) devreye sokuldu. Bu araç, bir komuta-kontrol sunucusuyla iletişim kurduktan sonra macOS, Windows ve Linux sistemlerde izlerini sildi. Her iki sürüm de saatler içinde kaldırıldı, ancak Kaspersky GReAT, saldırının Bluenoroff’un daha önceki kampanyalarıyla benzer taktikler içerdiğini doğruladı.
Şubat 2026’da yaygın olarak kullanılan açık kaynak metin editörü Notepad++’ın geliştiricileri, altyapılarının ihlal edildiğini açıkladı. Kaspersky araştırmacıları, saldırganların en az üç farklı enfeksiyon zinciri kullandığını tespit etti. Saldırı kapsamında Filipinler’de bir kamu kurumu, El Salvador’da bir finans kuruluşu, Vietnam’da bir BT hizmet sağlayıcısı ve farklı ülkelerde bireysel kullanıcılar hedef alındı.
Uzman Görüşü: Açık Kaynak Güvenliği Düşünülenden Daha Karmaşık
Kaspersky GReAT Rusya ve BDT Bölgesi Başkanı Dmitry Galov, konuyla ilgili şu değerlendirmelerde bulundu:
‘Araştırmamıza göre, kurumsal işletmelerin %31’i son 12 ay içinde bir tedarik zinciri saldırısından etkilendi. Ancak açık kaynak projelerin güvenlik seviyesi her zaman tescilli yazılımlardan daha düşük değildir. Aktif bir açık kaynak topluluğu, güvenlik açıklarını daha hızlı tespit edip giderebilir. Açık kaynak topluluğu riskleri yakından takip ederken, siber güvenlik uzmanları da zafiyetleri ve zararlı kodları tespit ederek kullanıcıları hızla bilgilendiriyor. Riskleri tamamen ortadan kaldırmak mümkün olmasa da güvenlik çözümleri ve otomatik kod analiz araçları sayesinde bu riskler önemli ölçüde azaltılabilir.’
Kurumlar İçin Önerilen Savunma Stratejileri
Kaspersky, kurumların güvenliğini artırmak için bir dizi somut adım öneriyor. İlk olarak, açık kaynak bileşenlerini izlemek ve potansiyel tehditleri tespit etmek için Kaspersky Open Source Software Threats Data Feed gibi özel çözümlerden yararlanılması gerekiyor. Ayrıca sürekli izleme sağlamak amacıyla, gerçek zamanlı altyapı takibi ve yazılım ile ağ trafiğindeki anomalileri tespit etmek için Kaspersky Next ürün ailesinin parçası olan XDR veya MXDR çözümlerinin kullanılması öneriliyor.
Gelişen tehditler hakkında güncel kalmak da kritik önem taşıyor. Açık kaynak ekosistemine ilişkin güvenlik bültenlerine ve duyurulara abone olarak tehditlerden erken haberdar olunması tavsiye ediliyor. Bunun yanı sıra, bir olay müdahale planı oluşturulması ve bu planın tedarik zinciri saldırılarını kapsadığından emin olunması gerekiyor. Örneğin, gerekirse tedarikçinin şirket sistemleriyle bağlantısını kesmeye yönelik prosedürler belirlenmeli. Son olarak, tedarikçilerle güvenlik konularında iş birliği yapılması, her iki tarafın da korunma seviyesini artırarak güvenliği ortak bir öncelik haline getiriyor.
Kaynak: Beyaz Haber Ajansı