Akışa DönTeknoloji

Kuzey Koreli Hackerlar Açık Kaynak Geliştiricileri Hedef Aldı: 100'den Fazla Paket Ele Geçirildi

Kuzey Kore bağlantılı PolinRider grubu, 100'den fazla meşru açık kaynak paketini ele geçirerek tedarik zinciri saldırısı başlattı. Geliştiricilerin…

7 dk okuma0 görüntüleme0 beğeniMefico News Editörü·
Aa
Kuzey Koreli Hackerlar Açık Kaynak Geliştiricileri Hedef Aldı: 100'den Fazla Paket Ele Geçirildi

Kuzey Kore bağlantılı siber casusluk grubu PolinRider, açık kaynak yazılım dünyasında benzeri görülmemiş bir tedarik zinciri saldırısına imza attı. 2026 yılının Temmuz ayı itibarıyla güvenlik araştırmacıları, grubun 100'den fazla meşru açık kaynak paketini ve kod deposunu (repository) ele geçirerek geliştiricilerin sistemlerine sızdığını doğruladı. Saldırganlar, ele geçirdikleri paketlere yerleştirdikleri arka kapı yazılımları ve bilgi hırsızları sayesinde, dünya genelinde binlerce yazılım projesinin güvenliğini tehlikeye attı.

Güney Kore merkezli siber güvenlik firması Genians'ın 2026 ortasında yayımladığı kapsamlı raporda, PolinRider kampanyasının Kuzey Kore'nin istihbarat teşkilatı Keşif Genel Bürosu (RGB) bünyesindeki Lazarus Grubu ile doğrudan bağlantılı olduğu belirtiliyor. Araştırmacılar, saldırganların özellikle Python ve JavaScript ekosistemlerindeki popüler paketleri hedef aldığını, bu paketlerin güvenilir geliştiricilerinin hesaplarını ele geçirerek kötü amaçlı kod enjekte ettiğini ortaya çıkardı. Saldırının ölçeği, 2025 yılında yaşanan ve yalnızca 30 paketin etkilendiği önceki kampanyalara kıyasla çok daha büyük.

PolinRider Kampanyasının Teknik Detayları ve Çalışma Mekanizması

PolinRider grubu, saldırılarını son derece sofistike bir sosyal mühendislik zinciriyle başlatıyor. İlk aşamada, popüler açık kaynak projelerinin bakımcılarına (maintainer) yönelik kişiselleştirilmiş kimlik avı (phishing) e-postaları gönderiliyor. Bu e-postalar, genellikle sahte iş teklifleri, konferans davetleri veya kritik güvenlik yaması bildirimleri şeklinde tasarlanıyor. Geliştiricinin hesap bilgilerini ele geçiren saldırganlar, ikinci aşamada ilgili paketin kaynak koduna erişim sağlıyor.

Kötü amaçlı kod, genellikle paketin kurulum betiklerine (setup.py, postinstall.js) veya çalışma zamanı bağımlılıklarına gizleniyor. Bu kod, kurban sistemde çalıştırıldığında önce meşru işlevini yerine getiriyor, ardından arka planda komuta-kontrol (C2) sunucusuna bağlanarak sistem bilgilerini sızdırmaya başlıyor. Genians araştırmacıları, arka kapının özellikle tarayıcı şifreleri, SSH anahtarları ve kripto para cüzdanı verilerini hedef aldığını belirtiyor. Saldırganlar, tespit edilmemek için trafiği HTTPS üzerinden şifreleyerek meşru API çağrıları gibi maskeliyor.

Etkilenen Paketler ve Ekosistemler

Kampanyadan etkilenen paketler arasında, aylık milyonlarca indirme sayısına ulaşan popüler kütüphaneler de bulunuyor. Python'un PyPI deposunda 'requests-auth', 'python-sqlite-wrapper' ve 'flask-security-utils' gibi paketlerin yanı sıra, JavaScript'in NPM ekosisteminde 'async-data-processor', 'react-native-config-helper' ve 'express-auth-middleware' gibi yaygın kullanılan modüller ele geçirildi. Güvenlik araştırmacıları, bu paketlerin bazılarının 2025 yılı sonundan itibaren kötü amaçlı sürümler yayınladığını, ancak saldırının büyük ölçüde 2026'nın ilk çeyreğinde yoğunlaştığını tespit etti.

Etkilenen paketlerin tam listesi, GitHub Advisory Database ve Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) Ulusal Güvenlik Açığı Veritabanı'nda (NVD) yayımlanmaya başladı. 2026 yılı itibarıyla açık kaynak topluluğu, bu paketlerin temizlenmiş sürümlerini hızla devreye alsa da, halen güncelleme yapmamış sistemlerin sayısının endişe verici boyutlarda olduğu tahmin ediliyor.

Küresel Yazılım Güvenliğine Etkileri ve Türkiye'nin Pozisyonu

PolinRider saldırısı, tedarik zinciri güvenliğinin yazılım dünyasındaki en kritik zafiyet noktalarından biri olduğunu bir kez daha gözler önüne serdi. Açık kaynak paketler, günümüzde Fortune 500 şirketlerinden küçük girişimlere kadar hemen her kurumun yazılım altyapısında kullanılıyor. Bu paketlerden birinin bile ele geçirilmesi, domino etkisiyle yüzlerce kurumsal sisteme sızılmasına yol açabiliyor. 2026 yılı itibarıyla ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu kampanyayı 'kritik tehdit' seviyesine yükselterek tüm federal kurumları etkilenen paketleri denetlemeye çağırdı.

Türkiye'de ise Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesindeki Ulusal Siber Olaylara Müdahale Merkezi (USOM), 2026 yılının Haziran ayında yayımladığı uyarı bülteninde, Türkiye'deki yazılım geliştiricileri ve kurumları etkilenen paket listesini kontrol etmeye davet etti. Türkiye'de özellikle finans teknolojileri (fintech) ve e-ticaret sektöründe faaliyet gösteren şirketlerin yoğun olarak kullandığı JavaScript ve Python kütüphanelerinin bu saldırıdan etkilenmiş olabileceği belirtiliyor. USOM, kritik altyapı kuruluşlarına yönelik özel bir tarama kampanyası başlattı.

Türkiye'deki Geliştiriciler İçin Alınması Gereken Önlemler

Türkiye'deki yazılım geliştirme ekiplerinin, kullandıkları tüm açık kaynak bağımlılıkları derhal gözden geçirmesi gerekiyor. Özellikle 2025 sonu ile 2026 başı arasında yayınlanmış paket güncellemeleri, otomatik bağımlılık tarayıcıları (örneğin OWASP Dependency-Check, Snyk veya GitHub Dependabot) ile taranmalı. BTK'nın önerileri doğrultusunda, çok faktörlü kimlik doğrulama (MFA) kullanmayan paket bakımcılarının hesapları büyük risk altında. Türkiye'deki teknoparklar ve yazılım kümelenmeleri, bu konuda farkındalık eğitimleri düzenlemeye başladı.

Ayrıca, Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, 2026 yılı başında yürürlüğe giren Ulusal Açık Kaynak Güvenlik Rehberi kapsamında, kamu kurumlarının kullandığı yazılımlarda yazılım malzeme listesi (SBOM - Software Bill of Materials) zorunluluğu getirdi. Bu düzenleme, PolinRider benzeri saldırıların tespitini hızlandırmayı hedefliyor. Özel sektörün de bu standardı gönüllü olarak benimsemesi, tedarik zinciri risklerini azaltmada kritik rol oynayacak.

Kuzey Kore Siber Operasyonlarının Ekonomik Boyutu

Kuzey Kore'nin siber saldırıları, yalnızca casusluk değil, aynı zamanda ülkenin yaptırımlar altındaki ekonomisine kaynak yaratma amacı taşıyor. Birleşmiş Milletler Güvenlik Konseyi'nin 2025 yılı raporuna göre, Kuzey Kore bağlantılı hacker grupları son beş yılda kripto para borsalarından ve DeFi protokollerinden yaklaşık 3 milyar dolar değerinde varlık çaldı. PolinRider kampanyasının bilgi hırsızı bileşeni de, geliştiricilerin sistemlerindeki kripto para cüzdanlarını ve borsa hesap bilgilerini hedef alıyor.

2026 yılı itibarıyla uluslararası toplum, Kuzey Kore'nin siber suç gelirlerini engellemek için yeni yaptırım paketleri üzerinde çalışıyor. ABD Hazine Bakanlığı Yabancı Varlıkların Kontrolü Ofisi (OFAC), Lazarus Grubu ile bağlantılı 12 yeni kripto para cüzdan adresini kara listeye aldı. Ancak uzmanlar, Kuzey Kore'nin siber operasyonlarını finanse etmek için giderek daha karmaşık yöntemlere başvurduğunu, açık kaynak tedarik zincirine yönelik saldırıların bu stratejinin yeni bir aşaması olduğunu vurguluyor.

Uluslararası İşbirliği ve İstihbarat Paylaşımı

PolinRider kampanyasının ortaya çıkarılması, Güney Kore, ABD ve Japonya istihbarat servisleri arasındaki yakın işbirliğinin bir ürünü. Genians araştırmacıları, saldırının altyapısını analiz ederken, daha önce Lazarus Grubu tarafından kullanılan IP adresleri ve alan adlarıyla örtüşmeler tespit etti. Bu bulgular, 2026 yılı Mart ayında düzenlenen Asya-Pasifik Siber Güvenlik Zirvesi'nde paylaşıldı ve katılımcı ülkeler arasında otomatik tehdit istihbaratı paylaşım protokolü imzalandı.

Türkiye de bu uluslararası çabalara, NATO Siber Savunma İşbirliği Merkezi (CCDCOE) bünyesindeki çalışma gruplarına aktif katılım sağlayarak destek veriyor. Türk siber güvenlik firmaları, yerel tehdit istihbaratını uluslararası platformlarla paylaşarak küresel savunma ağına katkıda bulunuyor. 2026 yılı itibarıyla Türkiye, bölgesel bir siber güvenlik merkezi olma hedefi doğrultusunda, ulusal tehdit istihbaratı platformunu (TIP) devreye aldı.

Açık Kaynak Güvenliğinde Yeni Dönem ve Gelecek Öngörüleri

PolinRider saldırısı, açık kaynak ekosisteminin güvenlik paradigmasını kökten değiştirecek bir dönüm noktası olarak görülüyor. 2026 yılında, büyük teknoloji şirketleri açık kaynak projelerine yönelik fonlama ve güvenlik denetimi programlarını önemli ölçüde artırdı. Google ve Microsoft, kritik öneme sahip açık kaynak projelerinin bakımcılarına ücretsiz güvenlik eğitimi ve çok faktörlü kimlik doğrulama donanım anahtarları sağlayan ortak bir girişim başlattı.

Uzmanlar, 2026'nın ikinci yarısında benzer tedarik zinciri saldırılarının artarak devam edeceğini öngörüyor. Özellikle yapay zeka ve makine öğrenmesi modellerinin paylaşıldığı platformlar (Hugging Face, TensorFlow Hub) ve konteyner imaj depoları (Docker Hub, Quay.io), bir sonraki hedef dalgası olabilir. Açık kaynak topluluğunun, paket imzalama (package signing) ve tekrarlanabilir derleme (reproducible builds) gibi güvenlik mekanizmalarını daha yaygın benimsemesi gerekiyor.

Sonuç olarak, PolinRider kampanyası, siber güvenliğin yalnızca bireysel savunma önlemleriyle sağlanamayacağını, ekosistem genelinde kolektif bir güvenlik kültürü gerektirdiğini kanıtladı. Açık kaynak yazılımın demokratik ve işbirliğine dayalı doğası, aynı zamanda onu hedef alan tehdit aktörleri için de çekici bir saldırı yüzeyi oluşturuyor. 2026 yılı, bu ikilemin çözümü için kritik kararların alındığı bir yıl olarak kayıtlara geçecek.

⚙️ Bu içerik yapay zeka asistanı tarafından hazırlanmış ve Mefico News editörü tarafından denetlenmiştir.