📣 REKLAMwww.prolisans.com.tr
← Tüm Yazılar
Siber Güvenlik

Axios Hacklendi: Kuzey Koreli Hackerlardan Dev npm Saldırısı!

Axios hacklendi! 70 milyondan fazla geliştiriciyi hedef alan Kuzey Kore destekli hackerların npm tedarik zinciri saldırısının tüm detayları CUMBUR.NET’te

📅 ⏳ 3 dk okuma ✎ İlker CUMBUR
axios hacklendi npm tedarik zinciri saldirisi

Axios Hacklendi: 70 Milyon Geliştiriciyi Vuran npm Saldırısı

Axios hacklendi ve yazılım dünyası, Nisan 2026 itibarıyla siber güvenlik tarihinin en büyük krizlerinden birini yaşıyor. Küresel yazılım ekosisteminin kalbi sayılan npm (Node Package Manager), son iki haftadır eşi benzeri görülmemiş derinlikte ve karmaşıklıkta devasa bir tedarik zinciri (Supply Chain) saldırısına sahne oluyor.

Haftada 70 milyondan fazla indirilen, hemen her modern JavaScript ve React projesinde varsayılan olarak kullanılan efsanevi HTTP istemcisinin ele geçirilmesi, DevSecOps ekiplerini alarma geçirdi. Bu makalede, “Axios hacklendi” krizinin teknik boyutlarını, Kuzey Koreli hackerların yöntemlerini ve Node.js ekosistemini vuran diğer kritik tehditleri detaylandırıyoruz.

📋 İçindekiler Tablosu

Axios Hacklendi: Saldırının Anatomisi ve Sapphire Sleet

Sektörde Axios hacklendi haberleri yayılmaya başladığında, siber güvenlik araştırmacıları saldırının kaynağını hızla tespit etti. Bu sofistike operasyonun arkasında, Kuzey Koreli devlet destekli ünlü APT (Gelişmiş Kalıcı Tehdit) grubu Sapphire Sleet (UNC1069) bulunuyor.

Grup, projede yetkili olan maintainer hesabını gelişmiş bir oltalama veya oturum çalma yöntemiyle ele geçirmeyi başardı. Bu durum, siber güvenlikte “güvenilen kaynak” algısının ne kadar kırılgan olduğunu bir kez daha kanıtladı.

Axios Hacklendi
Kuzey Kore destekli hackerlar npm ekosisteminde devasa bir tedarik zinciri saldırısı başlattı.

Zararlı Sürümler ve Çalışma Mantığı

Saldırganlar, meşru kod tabanını bozmadan Axios’un 1.14.1 ve 0.30.4 sürümlerinin içine plain-crypto-js adında tamamen zararlı bir dependency yerleştirdiler.

Bu sürümlerden biri kurumsal bir CI/CD ortamında veya şüphelenmeyen bir geliştiricinin yerel bilgisayarında kurulduğunda, npm’in meşhur postinstall betiği otomatik olarak devreye giriyor. Bu betik; Windows, macOS veya Linux ortamı fark etmeksizin arka planda sisteme sessizce bir RAT (Uzaktan Erişim Truva Atı) kuruyor.

RAT aktifleştiği an hedef sistemdeki AWS/Azure bulut kimlik bilgilerini, GitHub token’larını ve yerel .env dosyalarındaki verileri doğrudan saldırganın sunucularına sızdırıyor.

Axios Hacklendi Krizi Dışındaki Diğer npm Tehditleri

Gündemi Axios hacklendi manşetleri meşgul etse de, Nisan ayı siber istihbarat raporları npm ağacının çok daha derinlerinde başka yıkıcı faaliyetlerin de sürdüğünü gösteriyor.

  • Geçişli Bağımlılık (Transitive Dependency) Saldırıları: TeamPCP tehdit grubu, saldırılarını ağacın derinliklerindeki “geçişli” npm yardımcı programlarına yöneltiyor. Bu sayede KICS ve Trivy gibi güvenlik araçlarının kaynak kodlarına kadar görünmez bir şekilde sızmayı başarıyorlar.
  • React Native Ekosistemindeki Zararlı Paketler: Mobil uygulama geliştiricilerini hedef alan oldukça sofistike bir saldırı dalgası tespit edildi. Özellikle react-native-international-phone-number ve react-native-country-select paketlerinin zararlı kodlar barındırdığı doğrulandı.

Node.js Çekirdeğinde Kritik Yamalar (CVE)

Uygulama katmanındaki bu npm krizlerine ek olarak, Node.js çekirdeğinde de Mart-Nisan döneminde iki önemli zafiyet yamalandı:

  • CVE-2026-21714: HTTP/2 protokolünde WINDOW_UPDATE frame’leri üzerinden tetiklenen ve sunucuyu tamamen çökertebilen (DoS) ciddi bir bellek sızıntısı hatası.
  • CVE-2026-21713: Web Crypto API içerisindeki HMAC doğrulama süreçlerinde keşfedilen ve anahtarların kırılmasına yol açabilecek tehlikeli bir zamanlama saldırısı (timing attack).

Olay Özeti ve Uzlaşma Belirtileri (IoC) Tablosu

Aşağıdaki tablo, Axios hacklendi krizine ve diğer tehditlere ait teknik verileri özetlemektedir:

Tehdit / Bileşen Etkilenen Sürümler Detaylar & IoC
Axios (UNC1069) 1.14.1 ve 0.30.4 plain-crypto-js üzerinden RAT kurulumu.
React Native İlgili kütüphanelerin son sürümleri @agnoliaarisian7180/* referansları.
Node.js (Çekirdek) Güncel olmayan Node.js Sürümleri CVE-2026-21714 (DoS) ve CVE-2026-21713 (HMAC)

Acil Müdahale: Alınması Gereken Önlemler

Siber güvenlik raporlarına göre, Axios hacklendi alarmı sonrası kurumların acilen alması gereken önlemler şunlardır:

  1. Sürüm Geri Alma (Rollback): Projelerinizdeki sürümleri kontrol edin. Paketlerinizi temiz olduğu kesin olarak bilinen 1.14.0 veya 0.30.3 sürümlerine düşürün.
  2. Betikleri Engelleme: CI/CD boru hatlarında zararlı betiklerin çalışmasını durdurmak için npm kurulumlarına npm ci --ignore-scripts argümanını ekleyin.
  3. Secret Rotasyonu: Zararlı Axios sürümü sisteminizde çalıştıysa, AWS, Azure ve GitHub token’ları gibi tüm ortam değişkenlerini derhal iptal edin ve yenileyin. Detaylı kurumsal güvenlik rehberleri için Microsoft Security Blog(https://www.microsoft.com/en-us/security/business/security-intelligence-blog) sayfasını takip edebilirsiniz.
  4. Kilit Dosyası Denetimi: Repolarınızdaki package-lock.json dosyalarını tarayarak bilinen zararlı IoC referanslarının temizlendiğinden emin olun.

Benzer tedarik zinciri zafiyetleri ve diğer güvenlik tehditleri hakkında daha fazla bilgi almak için CUMBUR.NET Siber Güvenlik(https://cumbur.net/siber-guvenlik) kategorimizi ziyaret edebilirsiniz. Ayrıca CVE detayları için resmi MITRE CVE Veritabanı(https://cve.mitre.org/) üzerinden sorgulama yapmayı unutmayın.

 

 

CUMBUR.NET  sitesinden daha fazla şey keşfedin

Subscribe to get the latest posts sent to your email.

İlker CUMBUR
İlker CUMBUR
Cisco Instructor | Senior IT Manager | CyberSecurity Analyst

Bir Cevap Yazın