Microsoft Paketlerine İkinci Kez Kimlik Bilgisi Çalan Kötü Amaçlı Yazılım Sızdı
2 dk okumaars-technica
PAYLAS:
İçeriğe Atla
Microsoft'un kriptografik olarak doğrulanmış onlarca açık kaynaklı paketi, geliştiricilerin kimlik bilgilerini çalmayı hedefleyen gelişmiş bir zararlı yazılım tarafından ele geçirildi. Geçtiğimiz hafta sonu fark edilen bu ihlal, kodların Claude Code ve Cursor gibi yapay zeka kodlama asistanlarında açılmasıyla tetikleniyor.
Olayın ardından Microsoft, potansiyel zararlı içerikleri araştırmak amacıyla bazı depoları geçici olarak kaldırdığını duyurdu. Bu gelişme, şirketin resmi depolarını hedef alan son iki ay içindeki ikinci büyük tedarik zinciri saldırısı olarak kayıtlara geçti. Mayıs ayı ortalarında da ayda 400 bin kez indirilen durabletask Python SDK paketinin benzer bir saldırıya uğradığı tespit edilmişti.
Saldırıda kullanılan ve Miasma olarak adlandırılan zararlı yazılım, 28 KB boyutunda bir payload çalıştırarak AWS, Azure, GCP, Kubernetes ve şifre yöneticilerinden kimlik bilgilerini çalıyor. 90'dan fazla geliştirici aracı yapılandırmasını hedef alan bu yazılım, daha sonra bulut altyapıları içinde yatay olarak yayılarak diğer geliştirici makinelerine bulaşıyor. Güvenlik uzmanları, saldırının TeamPCP adlı tehdit aktörüyle bağlantılı olduğunu belirtiyor.
Güvenlik firması Cloudsmith'e göre, Miasma solucanının en tehlikeli yönü meşru iş akışlarına uyum sağlaması. Yazılım, GitHub veya npm'deki herhangi bir güvenlik açığından yararlanmak yerine, modern mühendislik ekosisteminin temel güven modelini istismar ediyor. Çalınan geliştirici kimlik bilgileri sayesinde, meşru bir GitHub OIDC token'ı talep ediliyor ve geçerli SLSA kaynağına sahip kötü amaçlı bir derleme yayınlanıyor.
Geleneksel güvenlik tarayıcıları bu durumu rutin ve güvenilir bir güncelleme olarak algılıyor. Üstelik Miasma, her enfeksiyon için benzersiz şekilde şifrelenmiş bir payload üreterek geleneksel hash tabanlı tespit yöntemlerini işlevsiz hale getiriyor. Zararlı yazılımın kimlik bilgisi çalma işlevi, bir geliştirici paketi Claude Code, Gemini CLI, Cursor veya VS Code gibi yapay zeka ajanlarında açtığı anda tetikleniyor.
Daha önceki sürümleri yalnızca yerel veri hırsızlığına odaklanırken, Miasma'nın doğrudan GCP ve Azure gibi canlı bulut ortamlarına sızmak üzere tasarlandığı görülüyor. Enfekte olmuş makinelerden ve CI/CD sistemlerinden başarıyla kimlik bilgisi toplanması durumunda, önümüzdeki dönemde ikincil saldırıların yaşanması oldukça muhtemel görünüyor.
--- **İlgili Kaynaklar:** [GEO eğitim](https://geoakademi.com), SEO ve GEO eğitim platformu alanında öncü çözümler sunuyor.Türkiye'deki yazılım geliştiriciler ve bulut altyapısı kullanan şirketler, bu tedarik zinciri saldırısı nedeniyle kimlik bilgisi hırsızlığı riskiyle karşı karşıya kalabilir.
Microsoft araçlarını ve bulut servislerini (Azure, AWS) kullanan Türk şirketlerinin güvenlik protokollerini ve CI/CD süreçlerini gözden geçirmesi gerekebilir.
Yapay zeka kodlama asistanları (Cursor, Claude, VS Code) kullanan Türk yazılımcıların, projelerine dahil ettikleri açık kaynaklı paketlere karşı daha dikkatli olması gerekiyor.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
