Axios Supply Chain Attack 2026: UNC1069 npm Erişim Jetonu Çaldı ve RAT Trojan Yaydı

Axios Supply Chain Attack 2026, yazılım dünyasının en temel taşlarından birini hedef alan, derin bir güven çöküşüdür. Axios, npm (Node Package Manager) üzerindeki en popüler HTTP istemci kütüphanesidir ve dünya çapında milyonlarca uygulama, bu kütüphane üzerinden çalışır. Ancak 2026’nın ilk aylarında, UNC1069 adlı bir saldırgan grubu, Axios’un ana geliştiricisine yönelik kişiselleştirilmiş bir sosyal mühendislik saldırısıyla uzun ömürlü bir npm erişim jetonunu çaldı ve iki zehirli sürüm yayınladı. Bu sürümler, macOS, Windows ve Linux sistemlerine yayılan bir cross-platform remote access trojan (RAT) içeriyordu. Bu, bir yazılım tedarik zinciri (supply chain) saldırısının çarpıcı bir örneğiydi.

Axios Supply Chain Saldırısı 2026: UNC1069 Nasıl Erişim Jetonunu Çaldı?

Saldırının başlangıcı, Axios’un baş geliştiricisine gelen sinsi bir e-postaydı.

Profesyonel Görünümlü Kimlik Avı (Phishing)

Reuters’a göre, saldırganlar kendilerini güvenilir bir güvenlik firması gibi gösterdi. E-posta, gerçek bir firmanın logo ve şablonlarını kullanarak "kod denetimi" talebinde bulunuyordu. Geliştirici, gönderilen "gizli bağlantı" üzerinden kimlik bilgilerini girdi. Bu bilgiler, 2022’den beri kullanılmayan ama silinmemiş bir npm erişim jetonunu içeriyordu.

Kimlik Doğrulama Yorgunluğu Hatası

Bu olay, klasik bir "kimlik doğrulama yorgunluğu" vakasıydı. Geliştiriciler, oluşturdukları uzun ömürlü token'ları unutabiliyor ve güvenlik politikaları bu kalıcı erişimleri yeterince denetlemiyordu.

RAT Trojanın Yayılımı: Axios v0.27.1 ve v0.27.2 Sürümlerinin Anatomisi

TechCrunch’un raporuna göre, çalınan token ile yayınlanan Axios v0.27.1 ve v0.27.2 sürümleri, normal güncellemelere benziyordu ancak içleri zehirliydi.

Kötü Amaçlı Kodun İşlevleri

• Veri Tarama ve Çalma: Trojan, sistemdeki .env, .json, .pem gibi hassas dosyaları tarayıp dış sunucuya gönderiyordu.
• Klavye Kaydı (Keylogging): Kullanıcı girişlerini kaydediyordu.
• Arka Kapı (Backdoor): Sisteme uzaktan erişim için bir arka kapı oluşturuyordu.

Bu, özellikle geliştirici güvenliği için büyük bir tehditti.

Axios Saldırısı Neden Bu Kadar Tehlikeli ve Yaygındı?

Bu supply chain attack'ın etkisi, Axios'un popülerliğinden kaynaklanıyordu.

Popüler Bağımlılık Güven Açığı

Axios, 15 milyondan fazla proje tarafından kullanılıyor. Saldırganlar, tek bir popüler paketi hedefleyerek binlerce kuruma sızabildi. Birçok şirketin otomatik bağımlılık güncellemeleri (npm install) ve yetersiz denetimleri bu riski artırıyor.

UNC1069'nin APT Stratejisi

Security Affairs’a göre, UNC1069 uzun süredir finans ve teknoloji sektörlerini hedefleyen gelişmiş bir tehdit (APT) grubu. Bu saldırı, yazılım tedarik zincirindeki insan faktörlü zayıflıkları istismar etmedeki kararlılıklarını gösterdi.

Geliştiriciler ve Şirketler İçin Kritik Korunma Yöntemleri (2026)

Saldırı sonrası alınan önlemler ve proaktif adımlar şunlardır:

Teknik Önlemler

• Token Yaşam Süresi: npm, tüm uzun ömürlü token'ların 3 ayda bir sona ermesini zorunlu kıldı.
• Anahtar Yönetimi: Axios projesi, artık token'ların HashiCorp Vault gibi güvenli bir serviste saklanmasını şart koşuyor.
• Çoklu Onay: Yeni sürümler için en az üç bağımsız geliştirici onayı gerekiyor.

Kültürel ve Prosedürel Değişiklikler

• 2FA Zorunluluğu: Tüm npm ve GitHub hesaplarında Çift Faktörlü Kimlik Doğrulama (2FA) aktif edilmeli.
• Sosyal Mühendislik Eğitimi: Geliştiriciler düzenli olarak kimlik avı saldırılarına karşı eğitilmeli.
• Bağımlılık Denetimi: Otomatik güncellemeler yerine, güvenilir kaynaklardan gelen sürümler manuel olarak incelenmeli.

Google ve GitHub da anormal erişim uyarı sistemlerini güçlendirdi.

Axios Supply Chain Attack 2026, saldırıların artık kodda değil, insanlarda başladığının net bir kanıtı. Teknik çözümler tek başına yeterli değil; sürekli güvenlik farkındalığı ve kültür değişikliği şart. Bu olay, her geliştirici ve kurum için güvenlik prosedürlerini 2026 standartlarına göre acilen gözden geçirme çağrısıdır.