TechPusula
axios Kütüphanesi NPM'de Kompromize Oldu: Uzaktan Erişim Trojanı Yayılıyor
Yazılım

axios Kütüphanesi NPM'de Kompromize Oldu: Uzaktan Erişim Trojanı Yayılıyor

axios kütüphanesinde tespit edilen zararlı versiyonlar, uzaktan erişim trojanları yayıyor. Kullanıcıların dikkatli olması gerekiyor.

Paylas

axios Kütüphanesi NPM'de Kompromize Oldu

30 Mart 2026 tarihinde, StepSecurity, npm üzerinde yayımlanan iki zararlı axios HTTP istemci kütüphanesi versiyonu tespit etti: [email protected] ve [email protected]. Bu versiyonlar, axios'un ana geliştiricilerinden birinin npm kimlik bilgileri kullanılarak yayımlandı ve projenin normal GitHub Actions CI/CD sürecini bypass etti. Saldırgan, geliştiricinin kayıtlı e-posta adresini anonim bir ProtonMail adresiyle değiştirdi ve zehirli paketleri npm CLI aracılığıyla manuel olarak yayımladı.

Zararlı versiyonlar, axios kaynak kodunda hiçbir yerde içe aktarılmayan [email protected] adlı yeni bir bağımlılık ekliyor. Bu bağımlılığın tek amacı, macOS, Windows ve Linux platformlarını hedef alan bir postinstall betiği çalıştırarak uzaktan erişim trojanı (RAT) dağıtmaktır. Bu dağıtıcı, canlı bir komut ve kontrol sunucusuyla iletişim kurar ve platforma özgü ikinci aşama yükleri teslim eder. Yürütme sonrası, kötü amaçlı yazılım kendisini siler ve kendi package.json dosyasını temiz bir versiyonla değiştirerek adli tespitlerin önüne geçer.

Hiçbir zararlı kod, axios'un kendisinde yer almıyor. Bunun yerine, [email protected] adlı sahte bir bağımlılık ekleniyor. Bu bağımlılık yalnızca postinstall betiğini çalıştırmak için eklenmiş durumda. Söz konusu zararlı bağımlılık, 18 saat öncesinden sahneye yerleştirildi ve her üç işletim sistemi için ayrı yükler önceden hazırlandı. Hem 1.x hem de 0.x sürüm dallarını hedef alarak saldırı gerçekleştirilmiştir. Bu, npm'deki en popüler on paket arasındaki tedarik zinciri saldırılarının en operasyonel olarak sofistike örneklerinden biri olarak kaydedildi.

Saldırı Zaman Çizelgesi

Saldırı, yaklaşık 18 saat öncesinden planlandı ve zararlı bağımlılık, axios sürümlerinin yayımlanmasından önce npm'de sahneye yerleştirildi. İşte kritik zaman damgaları:

  • 2026-03-30 05:57: [email protected], [email protected] tarafından yayımlandı. Bu sürüm, temiz bir sahte içerik barındırıyor ve gerçek crypto-js kaynağının tam bir kopyasını içeriyor.

  • 2026-03-30 23:59: [email protected] yayımlandı. Bu sürüm, zararlı yük eklendi. Postinstall betiği ve obfuscate edilmiş dağıtıcı tanıtıldı.

  • 2026-03-31 00:21: [email protected] yayımlandı. Bu, [email protected]'i bir çalışma zamanı bağımlılığı olarak ekledi.

  • 2026-03-31 01:00: [email protected] yayımlandı. Bu sürüm, aynı zararlı bağımlılığı içeren 39 dakika sonra yayımlandı.

axios Nedir?

axios, JavaScript ekosisteminin en popüler HTTP istemci kütüphanesidir. Neredeyse her Node.js ve tarayıcı uygulamasında HTTP istekleri yapmak için kullanılmaktadır. Haftalık 300 milyondan fazla indirme ile, bir tek küçük sürümün bile güvenlik açığı yaratma potansiyeli oldukça yüksektir. Geliştiriciler, rutin bir npm install veya npm update çalıştırırken, paketlerin kötü amaçlı yazılım dağıttığını düşünmeyeceklerdir.

Saldırının İşleyişi

Adım 1 — Geliştirici Hesabının Ele Geçirilmesi

Saldırgan, axios projesinin ana geliştiricisi olan jasonsaayman npm hesabını ele geçirdi. Hesabın kayıtlı e-postası [email protected] olarak değiştirildi. Bu erişimle, saldırgan, hem 1.x hem de 0.x sürüm dalları arasında zararlı derlemeleri yayımladı. Her iki sürüm de npm kayıt defterinde jasonsaayman tarafından yayımlanmış olarak kaydedildi ve ilk bakışta meşru sürümlerle ayırt edilemez durumda.

Adım 2 — Zararlı Bağımlılığın Sahneye Yerleştirilmesi

Saldırgan, axios sürümlerini yayımlamadan önce npm üzerinde zararlı bir paket olan [email protected]'i sahneye yerleştirdi. Bu paket, başka bir geçici hesap (nrwise) tarafından yayımlandı.

Adım 3 — Bağımlılığın axios'a Enjekte Edilmesi

Saldırgan, [email protected] ve [email protected]'ü plain-crypto-js: "^4.2.1" bağımlılığı ile yayımladı. Zararlı bağımlılık, axios'un hiçbir meşru sürümünde yer almamaktadır. Geliştiriciler, npm install [email protected] çalıştırdıklarında, npm bağımlılık ağacını çözer ve [email protected]'i otomatik olarak yükler. Ardından, plain-crypto-js'in postinstall betiği çalıştırılır ve dağıtıcı başlatılır. Bu tür bir bağımlılık, kaynak kodunda hiç kullanılmadığı için yüksek güvenle bir ihlal belirtisi olarak kabul edilir.

Eğer [email protected] veya [email protected]'ü yüklediyseniz, sisteminizin tehlikeye girdiğini varsaymalısınız.

Şevval Yüce

Yazar

Şevval Yüce

TechPusula yazarı. Teknoloji ve dijital dönüşüm üzerine içerikler üretmektedir.

Tüm yazıları gör

Yorumlar

Henüz yorum yapılmamış. İlk yorumu siz yapın!

Yorum Yaz

0/2000

İlginizi Çekebilir

Tüm yazılar
Nvidia RTX Spark Dizüstü Bilgisayarları: AI PC Devrimi
Yazılım

Nvidia RTX Spark Dizüstü Bilgisayarları: AI PC Devrimi

Google, Yayıncıların AI Arama Özelliklerinden Çıkış Yapmasına İzin Vermeli
Yazılım

Google, Yayıncıların AI Arama Özelliklerinden Çıkış Yapmasına İzin Vermeli

Capstone: Çoklu Platform ve Mimaride Dağıtım Çerçevesi
Yazılım

Capstone: Çoklu Platform ve Mimaride Dağıtım Çerçevesi