Ledger'in CTO'su Charles Guillemet, X'te yaygın olarak kullanılan NPM paketlerini içeren bir tedarik zinciri saldırısını bildirdi.
Büyük ölçekli bir tedarik zinciri saldırısı devam ediyor: saygın bir geliştiricinin NPM hesabı tehlikeye girdi. Etkilenen paketler zaten 1 milyardan fazla kez indirilmiş durumda, bu da tüm JavaScript ekosisteminin risk altında olabileceği anlamına geliyor.
Kötü niyetli yük çalışıyor…
— Charles Guillemet (@P3b7_) 8 Eylül 2025
CoinDesk'in bir raporuna göre, toplamda 1 milyardan fazla indirilen bazı tehlikeye atılmış versiyonlar, kripto işlemlerinde "anlık olarak" hedef adresleri değiştirme yeteneğine sahip kodlar içermektedir ve bu da fonları saldırganların kontrolündeki cüzdanlara yönlendirmektedir. Bu senaryo, tedarik zinciri ihlallerinin büyük ölçekli etkilere sahip olabileceğini vurgulayan OWASP gibi endüstri kuruluşları tarafından yayımlanan tedarik zinciri koruma önerileriyle örtüşmektedir.
Son 24 saatte tehdit istihbarat ekibimiz tarafından toplanan verilere göre, birden fazla depo ve yapı boru hattında tarif edilen teknikle uyumlu bir ihlal göstergesi ortaya çıkmıştır. İşbirliği yaptığımız analistler ayrıca olayın kapsamının geçişli bağımlılıklar ve kayıt alanının büyüklüğü tarafından artırıldığını vurgulamaktadır: NPM kayıt alanı 2 milyondan fazla paket barındırmaktadır, bu da ihlal edilmiş bir modülün yayılma olasılığını artırmaktadır.
Saldırı Mekanizması: Adresler “Anlık Olarak” Değiştirildi
Bunu söyledikten sonra, kötü niyetli yük hem on-chain işlemler sırasında hem de işlem oluşturma veya imzalama anında aktif hale geliyor. Pratikte, kötü yazılım alıcı adresini yakalayıp bunu kötü niyetli aktörlere ait bir adresle değiştiriyor. Kullanıcı, görünüşte "temiz" bir ekran gördüğünde, nihai işlemin fonları farklı bir adrese gönderdiğini fark etmeyebilir – bu durum The Block tarafından da onaylanmış bir dinamik. Manipülasyonun, son onay adımına kadar görünmez kalmayı amaçladığına dikkat edilmelidir.
NPM saldırısı hakkında güncelleme: Saldırı neyse ki başarısız oldu, neredeyse hiç kurban yok.
Sahte bir npm destek alanından gelen bir kimlik avı e-postasıyla başladı; bu e-posta kimlik bilgilerini çaldı ve saldırganlara kötü amaçlı paket güncellemeleri yayınlama erişimi verdi. Enjekte edilen kod, web kripto faaliyetlerini hedef aldı,… pic.twitter.com/lOik6k7Dkp
— Charles Guillemet (@P3b7_) 9 Eylül 2025
İlgili paketler: numaralar, geçici isimler ve dağıtım
İlk analizler, anlaşmanın, yaygın olarak kullanılan kütüphanelere erişimi olan bir bakımcının hesabının istismar edilmesiyle gerçekleştiğini göstermektedir. Dolaşan isimler arasında, örneğin, npmjs.com'da resmi profili görülebilen error-ex paketi bulunmaktadır; ancak resmi listeler hâlâ güncellenmektedir. Etki, bağımlılıklar nedeniyle zincirleme bir etki ile artmaktadır: tek bir tehlikeye atılmış modül, import zincirleri sayesinde yüzlerce projeye yayılabilir. Gerçekten de, JavaScript kodunun modüler yapısı, bağımlılıklar derinlemesine yuvalandığında sorunun yayılmasını kolaylaştırmaktadır.
Maruz kalma ölçeği: potansiyel olarak risk altındaki sürümlerin toplamda 1 milyardan fazla indirilmesi.
Vector: çalınan kimlik bilgileri veya tehlikeye atılmış boru hattı aracılığıyla NPM'deki yayınlar.
Kapsam: web projelerinde ve cüzdanlarda kullanılan temel kütüphaneler.
Etkilenen paketler ve sürümlerle ilgili resmi listeler kısmi durumdadır; NPM tavsiyeleri ve bakımcı havuzlarını izlemek önerilir. Ancak, kesin iletişimler yapılana kadar, tüm bağımlılık zincirinin risk altında olduğunu dikkate almak akıllıca kalmaktadır.
Kullanıcılar ve işletmeler üzerindeki etkisi
Adresin gizlice değiştirilmesinin ardından doğrudan kripto hırsızlığı.
dApp, uzantılar ve masaüstü/web cüzdanlarında uygulama bütünlüğü ihlal edildi.
Kirlenmiş paketleri entegre eden projeler için itibar riski.
Acil Olarak Yapılması Gerekenler: Acil Durum Kontrol Listesi
Son kullanıcılar (crypto)
İşlem bilgilerini net bir şekilde gösteren cüzdanları tercih edin ( ekran ve net imza – Net İmza ), onaylamadan önce cihazda adresi ve miktarı doğrulamak. Pratik rehberlik için, donanım cüzdanlarını kontrol etme kılavuzumuzu inceleyin.
Kör imzalamaktan kaçının ve doğrulanmamış QR kodlarının kullanımını sınırlayın.
Gösterilen adresi güvenli bir kopya ile karşılaştırın ve sık kullanılan alıcılar için beyaz liste kullanın.
Bu önlem, bir donanım cüzdanında onay, gerçekten imzalanan verileri gösterdiği için çok önemlidir; bu, ev sahibi yazılım tarafından yapılan herhangi bir adres değişikliğini belirgin hale getirir. Bu bağlamda, cihazın ekranında doğrulama, hata veya yukarıdan manipülasyon olasılığını azaltır.
Geliştirme ekipleri için
Kritik bağımlılıkların otomatik güncellemelerini geçici olarak durdurun.
Şüpheli dönemde yayımlanan sürümlerin denetimini yapın ve geri alın.
NPM tokenlerini döndürün ve bakımcılar ile sürüm yayıncıları için 2FA etkinleştirmesini zorunlu hale getirin (buraya bakın).
Yayınlar için köken sistemlerini etkinleştir ve yapım artefaktlarını imzala.
Bir projenin maruz kalıp kalmadığını nasıl doğrularız
Şüpheli bağımlılıkları ve kurulu sürüm aralıklarını hızlı bir şekilde belirlemek çok önemlidir: zamanında keşif, boru hatlarındaki domino etkisini sınırlar.
Yüklenmiş sürümleri ve bağımlılık zincirini listele
npm ls error-ex
Bilinen güvenlik açıkları ve tavsiyeleri kontrol et
npm audit –production
npm audit –json > audit.json
CI'de belirlenmemiş güncellemeleri engelle
npm ci –ignore-scripts
Daha sıkı bir denetim eşiği belirle
npm config set audit-level=yüksek
Mevcut sürümleri ve yayın tarihlerini kontrol et
npm view error-ex versions –json
npm view error-ex time –json
CI bağlamlarında, ignore-scripts=true ayarının yapılması, kötü niyetli kurulum sonrası scriptlerinin çalıştırılma riskini azaltmaya yardımcı olur. Bununla birlikte, beklenmedik sapmaların önlenmesi için hemen yeniden üretilebilir bir temel oluşturulması tavsiye edilir. CI doğrulamalarıyla ilgili genişletilmiş bir kontrol listesi için, tedarik zinciri en iyi uygulamaları sayfamıza başvurun.
Tedarik zincirini güçlendirmek: önerilen teknik savunmalar
Deterministik bir kilit dosyası (package-lock.json) kullanın ve yeniden üretilebilirliği sağlamak için npm ci ile dağıtım yapın.
Yayınlar ve kritik erişim için NPM'de 2FA'yı etkinleştir, sınırlı kapsamlı token'lar kullanarak (automation vs. publish).
Zorunlu kod incelemesini uygulayın ve imzalı artefaktlarla izole bir CI boru hattı kullanın.
Provenans sistemlerini benimseyin, npm paket provenansı ve SLSA gibi standartlar üzerine resmi belgelere atıfta bulunun.
Tarayıcı araçları ve kontrol edilen güncellemeler, uygun olduğunda, Dependabot, Renovate ve sigstore/cosign gibi araçları kullanın.
Bakımcıların ve sürüm botlarının hesapları için en az ayrıcalık ilkesini uygulayın.
Soruşturma Zaman Çizelgesi ve Durumu
Açıklama, 8 Eylül 2025'te kamuya duyuruldu ve doğrulama işlemleri şu anda devam ediyor. Resmi bildirimler ve tehlikeye maruz kalmış paketler ile sürümlerin güncellenmiş listeleri kademeli olarak yayınlanacaktır. Bu nedenle, tehlike göstergeleri bir araya gelene kadar, gereksiz güncellemeleri askıya alarak temkinli bir yaklaşım sergilemek tavsiye edilir. Daha fazla geri bildirim beklenirken, öncelik maruziyeti sınırlamak ve her değişikliği dikkatlice belgelendirmektir.
Kritik Açı: Hala Kırılgan Bir Güven Zinciri
Açık kaynak tedarik zinciri, hesap erişimi ve yayınlama boru hatları yeterince korunmadığında savunmasız kalmaya devam etmektedir. Sorun, 2025'te, birçok yayının 2FA, köken ve titiz incelemeler gibi önlemlerin sistematik olarak benimsenmeden gerçekleşmeye devam etmesi durumunda özellikle acil hale gelmektedir.
Güvenin sorgulanmadığı sürece, her proje başkaları tarafından yaratılan risklere maruz kalmaya devam edecektir. Ancak, süreçlerdeki küçük iyileştirmeler bile saldırı yüzeyini önemli ölçüde azaltabilir.
Nokta
Bu bölüm, açık kaynak yazılımında tedarik zinciri güvenliğinin ne kadar kritik olduğunu vurgulamaktadır. Soruşturmalar devam ettiği sürece, öncelik saldırı yüzeylerini sınırlamak, ekran üzerindeki işlem verilerini dikkatlice doğrulamak ve 2FA, lockfile ve menşei sistemlerinin benimsenmesi yoluyla yayınlama süreçlerini konsolide etmektir.
Uzmanlar tarafından belirtildiği gibi, tavsiyelerin şeffaflığı, gerçek etkiyi ölçmek ve ekosisteme olan güveni yeniden sağlamak için çok önemli olacaktır. Bu bağlamda, en iyi uygulamalara uyulması, tek acil önlem olarak kalmaktadır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
NPM saldırı altında: ele geçirilmiş JavaScript paketleri, kripto adresleri gaspedildi. Ledger'dan uyarı...
Ledger'in CTO'su Charles Guillemet, X'te yaygın olarak kullanılan NPM paketlerini içeren bir tedarik zinciri saldırısını bildirdi.
Büyük ölçekli bir tedarik zinciri saldırısı devam ediyor: saygın bir geliştiricinin NPM hesabı tehlikeye girdi. Etkilenen paketler zaten 1 milyardan fazla kez indirilmiş durumda, bu da tüm JavaScript ekosisteminin risk altında olabileceği anlamına geliyor.
Kötü niyetli yük çalışıyor…
— Charles Guillemet (@P3b7_) 8 Eylül 2025
CoinDesk'in bir raporuna göre, toplamda 1 milyardan fazla indirilen bazı tehlikeye atılmış versiyonlar, kripto işlemlerinde "anlık olarak" hedef adresleri değiştirme yeteneğine sahip kodlar içermektedir ve bu da fonları saldırganların kontrolündeki cüzdanlara yönlendirmektedir. Bu senaryo, tedarik zinciri ihlallerinin büyük ölçekli etkilere sahip olabileceğini vurgulayan OWASP gibi endüstri kuruluşları tarafından yayımlanan tedarik zinciri koruma önerileriyle örtüşmektedir.
Son 24 saatte tehdit istihbarat ekibimiz tarafından toplanan verilere göre, birden fazla depo ve yapı boru hattında tarif edilen teknikle uyumlu bir ihlal göstergesi ortaya çıkmıştır. İşbirliği yaptığımız analistler ayrıca olayın kapsamının geçişli bağımlılıklar ve kayıt alanının büyüklüğü tarafından artırıldığını vurgulamaktadır: NPM kayıt alanı 2 milyondan fazla paket barındırmaktadır, bu da ihlal edilmiş bir modülün yayılma olasılığını artırmaktadır.
Saldırı Mekanizması: Adresler “Anlık Olarak” Değiştirildi
Bunu söyledikten sonra, kötü niyetli yük hem on-chain işlemler sırasında hem de işlem oluşturma veya imzalama anında aktif hale geliyor. Pratikte, kötü yazılım alıcı adresini yakalayıp bunu kötü niyetli aktörlere ait bir adresle değiştiriyor. Kullanıcı, görünüşte "temiz" bir ekran gördüğünde, nihai işlemin fonları farklı bir adrese gönderdiğini fark etmeyebilir – bu durum The Block tarafından da onaylanmış bir dinamik. Manipülasyonun, son onay adımına kadar görünmez kalmayı amaçladığına dikkat edilmelidir.
NPM saldırısı hakkında güncelleme: Saldırı neyse ki başarısız oldu, neredeyse hiç kurban yok.
Sahte bir npm destek alanından gelen bir kimlik avı e-postasıyla başladı; bu e-posta kimlik bilgilerini çaldı ve saldırganlara kötü amaçlı paket güncellemeleri yayınlama erişimi verdi. Enjekte edilen kod, web kripto faaliyetlerini hedef aldı,… pic.twitter.com/lOik6k7Dkp
— Charles Guillemet (@P3b7_) 9 Eylül 2025
İlgili paketler: numaralar, geçici isimler ve dağıtım
İlk analizler, anlaşmanın, yaygın olarak kullanılan kütüphanelere erişimi olan bir bakımcının hesabının istismar edilmesiyle gerçekleştiğini göstermektedir. Dolaşan isimler arasında, örneğin, npmjs.com'da resmi profili görülebilen error-ex paketi bulunmaktadır; ancak resmi listeler hâlâ güncellenmektedir. Etki, bağımlılıklar nedeniyle zincirleme bir etki ile artmaktadır: tek bir tehlikeye atılmış modül, import zincirleri sayesinde yüzlerce projeye yayılabilir. Gerçekten de, JavaScript kodunun modüler yapısı, bağımlılıklar derinlemesine yuvalandığında sorunun yayılmasını kolaylaştırmaktadır.
Maruz kalma ölçeği: potansiyel olarak risk altındaki sürümlerin toplamda 1 milyardan fazla indirilmesi.
Vector: çalınan kimlik bilgileri veya tehlikeye atılmış boru hattı aracılığıyla NPM'deki yayınlar.
Kapsam: web projelerinde ve cüzdanlarda kullanılan temel kütüphaneler.
Etkilenen paketler ve sürümlerle ilgili resmi listeler kısmi durumdadır; NPM tavsiyeleri ve bakımcı havuzlarını izlemek önerilir. Ancak, kesin iletişimler yapılana kadar, tüm bağımlılık zincirinin risk altında olduğunu dikkate almak akıllıca kalmaktadır.
Kullanıcılar ve işletmeler üzerindeki etkisi
Adresin gizlice değiştirilmesinin ardından doğrudan kripto hırsızlığı.
dApp, uzantılar ve masaüstü/web cüzdanlarında uygulama bütünlüğü ihlal edildi.
Kirlenmiş paketleri entegre eden projeler için itibar riski.
Acil Olarak Yapılması Gerekenler: Acil Durum Kontrol Listesi
Son kullanıcılar (crypto)
İşlem bilgilerini net bir şekilde gösteren cüzdanları tercih edin ( ekran ve net imza – Net İmza ), onaylamadan önce cihazda adresi ve miktarı doğrulamak. Pratik rehberlik için, donanım cüzdanlarını kontrol etme kılavuzumuzu inceleyin.
Kör imzalamaktan kaçının ve doğrulanmamış QR kodlarının kullanımını sınırlayın.
Gösterilen adresi güvenli bir kopya ile karşılaştırın ve sık kullanılan alıcılar için beyaz liste kullanın.
Bu önlem, bir donanım cüzdanında onay, gerçekten imzalanan verileri gösterdiği için çok önemlidir; bu, ev sahibi yazılım tarafından yapılan herhangi bir adres değişikliğini belirgin hale getirir. Bu bağlamda, cihazın ekranında doğrulama, hata veya yukarıdan manipülasyon olasılığını azaltır.
Geliştirme ekipleri için
Kritik bağımlılıkların otomatik güncellemelerini geçici olarak durdurun.
Şüpheli dönemde yayımlanan sürümlerin denetimini yapın ve geri alın.
NPM tokenlerini döndürün ve bakımcılar ile sürüm yayıncıları için 2FA etkinleştirmesini zorunlu hale getirin (buraya bakın).
Yayınlar için köken sistemlerini etkinleştir ve yapım artefaktlarını imzala.
Bir projenin maruz kalıp kalmadığını nasıl doğrularız
Şüpheli bağımlılıkları ve kurulu sürüm aralıklarını hızlı bir şekilde belirlemek çok önemlidir: zamanında keşif, boru hatlarındaki domino etkisini sınırlar.
Yüklenmiş sürümleri ve bağımlılık zincirini listele
npm ls error-ex
Bilinen güvenlik açıkları ve tavsiyeleri kontrol et
npm audit –production
npm audit –json > audit.json
CI'de belirlenmemiş güncellemeleri engelle
npm ci –ignore-scripts
Daha sıkı bir denetim eşiği belirle
npm config set audit-level=yüksek
Mevcut sürümleri ve yayın tarihlerini kontrol et
npm view error-ex versions –json
npm view error-ex time –json
CI bağlamlarında, ignore-scripts=true ayarının yapılması, kötü niyetli kurulum sonrası scriptlerinin çalıştırılma riskini azaltmaya yardımcı olur. Bununla birlikte, beklenmedik sapmaların önlenmesi için hemen yeniden üretilebilir bir temel oluşturulması tavsiye edilir. CI doğrulamalarıyla ilgili genişletilmiş bir kontrol listesi için, tedarik zinciri en iyi uygulamaları sayfamıza başvurun.
Tedarik zincirini güçlendirmek: önerilen teknik savunmalar
Deterministik bir kilit dosyası (package-lock.json) kullanın ve yeniden üretilebilirliği sağlamak için npm ci ile dağıtım yapın.
Yayınlar ve kritik erişim için NPM'de 2FA'yı etkinleştir, sınırlı kapsamlı token'lar kullanarak (automation vs. publish).
Zorunlu kod incelemesini uygulayın ve imzalı artefaktlarla izole bir CI boru hattı kullanın.
Provenans sistemlerini benimseyin, npm paket provenansı ve SLSA gibi standartlar üzerine resmi belgelere atıfta bulunun.
Tarayıcı araçları ve kontrol edilen güncellemeler, uygun olduğunda, Dependabot, Renovate ve sigstore/cosign gibi araçları kullanın.
Bakımcıların ve sürüm botlarının hesapları için en az ayrıcalık ilkesini uygulayın.
Soruşturma Zaman Çizelgesi ve Durumu
Açıklama, 8 Eylül 2025'te kamuya duyuruldu ve doğrulama işlemleri şu anda devam ediyor. Resmi bildirimler ve tehlikeye maruz kalmış paketler ile sürümlerin güncellenmiş listeleri kademeli olarak yayınlanacaktır. Bu nedenle, tehlike göstergeleri bir araya gelene kadar, gereksiz güncellemeleri askıya alarak temkinli bir yaklaşım sergilemek tavsiye edilir. Daha fazla geri bildirim beklenirken, öncelik maruziyeti sınırlamak ve her değişikliği dikkatlice belgelendirmektir.
Kritik Açı: Hala Kırılgan Bir Güven Zinciri
Açık kaynak tedarik zinciri, hesap erişimi ve yayınlama boru hatları yeterince korunmadığında savunmasız kalmaya devam etmektedir. Sorun, 2025'te, birçok yayının 2FA, köken ve titiz incelemeler gibi önlemlerin sistematik olarak benimsenmeden gerçekleşmeye devam etmesi durumunda özellikle acil hale gelmektedir.
Güvenin sorgulanmadığı sürece, her proje başkaları tarafından yaratılan risklere maruz kalmaya devam edecektir. Ancak, süreçlerdeki küçük iyileştirmeler bile saldırı yüzeyini önemli ölçüde azaltabilir.
Nokta
Bu bölüm, açık kaynak yazılımında tedarik zinciri güvenliğinin ne kadar kritik olduğunu vurgulamaktadır. Soruşturmalar devam ettiği sürece, öncelik saldırı yüzeylerini sınırlamak, ekran üzerindeki işlem verilerini dikkatlice doğrulamak ve 2FA, lockfile ve menşei sistemlerinin benimsenmesi yoluyla yayınlama süreçlerini konsolide etmektir.
Uzmanlar tarafından belirtildiği gibi, tavsiyelerin şeffaflığı, gerçek etkiyi ölçmek ve ekosisteme olan güveni yeniden sağlamak için çok önemli olacaktır. Bu bağlamda, en iyi uygulamalara uyulması, tek acil önlem olarak kalmaktadır.