2025 yılının en dikkat çeken tedarik zinciri saldırıları

Tedarik zinciri saldırıları, yıllardır siber güvenlik olaylarının en tehlikeli kategorilerinden biri olmuş durumda. 2025 yılı bize bir şey öğrettiyse, o da siber suçluların bu yöntemlere daha da yoğunlaştığıdır. Bu ayrıntılı incelemede, 2025 yılında meydana gelen tedarik zinciri saldırılarını ele alıyoruz; bu saldırılar her zaman en maliyetli olmasa da, kesinlikle en sıra dışı olanlardı ve sektörün dikkatini çektiler.

Ocak 2025: DogWifTools GitHub deposunda bir RAT tespit edildi

Tatil arasının ardından bir “ısınma” olarak, siber suçlular DogWifTools’un çeşitli sürümlerine sistematik olarak arka kapı yerleştirdiler. Bu, Pump.fun platformunda Solana tabanlı meme coin’leri piyasaya sürmek ve etkin bir şekilde tanıtmak için tasarlanmış bir yardımcı programdır. Saldırganlar, DogWifTools’un özel GitHub deposunu ele geçirdikten sonra, geliştiricilerin yeni bir sürümü yüklemesini beklediler, bu sürüme bir RAT yerleştirdiler ve birkaç saat sonra da yasal programı kendi kötü amaçlı sürümleriyle değiştirdiler. Geliştiricilere göre, siber suçlular DogWifTools for Windows’un 1.6.3 ile 1.6.6 arasındaki sürümlerine başarıyla trojan yerleştirdiler.

Olaylar Ocak ayı sonlarında başladı. Saldırganlar, RAT’ı kullanarak virüs bulaşmış cihazlardan büyük miktarda veri topladıktan sonra, kurbanlarının kripto cüzdanlarını boşalttı. Mağdurlar, çalınan kripto para biriminin toplam değerinin 10 milyon ABD dolarının üzerinde olduğunu tahmin ederken, saldırganlar bu rakamı yalanladı, ancak gerçekte ne kadar para çaldıklarını tam olarak açıklamaktan kaçındılar.

Şubat 2025: 1,5 milyar dolarlık Bybit soygunu

Ocak ayı bir ısınma turuysa, Şubat ayı tam bir çöküş oldu. Bybit kripto borsasına yapılan saldırı, önceki olayları gölgede bırakarak tarihin en büyük kripto hırsızlığı oldu. Saldırganlar, borsanın varlıklarını yönetmek için kullandığı çoklu imza tabanlı soğuk depolama çözümü olan Safe{Wallet} yazılımını ele geçirmeyi başardılar.

Bybit çalışanları rutin bir işlem yaptıklarını sanıyorlardı; oysa gerçekte kötü niyetli bir akıllı sözleşmeyi onaylıyorlardı. Saldırı gerçekleştirildiğinde, birincil soğuk cüzdanın içindeki varlıklar boşaltıldı ve bu varlıklar saldırganların kontrolündeki yüzlerce adrese dağıtıldı. Son toplanan miktar 400.000 ETH/stETH’yi aştı ve toplam değeri yaklaşık… 1,5 milyar ABD doları gibi dudak uçuklatan bir rakama ulaştı!

Mart 2025: Coinbase, GitHub Actions’ta meydana gelen zincirleme güvenlik ihlalinin hedefi oldu

2025 ilkbaharı, standart DevOps görevlerini otomatikleştirmek için kullanılan iş akışı şablonları olan GitHub Actions’ın birden fazlasının ele geçirilmesini ana saldırı mekanizması olarak kullanan sofistike bir saldırıyla başladı. Her şey, SpotBugs analiz aracının bir bakım sorumlusuna ait kişisel belirteçin çalınmasıyla başladı. Saldırganlar bu erişim noktasını kullanarak kötü amaçlı bir işlem başlattılar ve aynı zamanda projeye de dahil olan reviewdog/action-setup iş akışının bir bakım sorumlusundan bir belirteç ele geçirmeyi başardılar.

Oradan, tj-actions/changed-files iş akışını ele geçirerek, bu iş akışını kötü amaçlı bir Python betiğini çalıştıracak şekilde değiştirdiler. Bu komut dosyası, AWS, Azure ve Google Cloud anahtarları, GitHub ve NPM belirteçleri, veri tabanı kimlik bilgileri ve RSA özel anahtarları gibi yüksek değerli gizli bilgileri tespit etmek üzere tasarlanmıştır. Garip bir şekilde, komut dosyası bulduğu her şeyi doğrudan herkesin erişebileceği derleme günlüklerine yazıyordu. Bu, sızan verilerin sadece saldırganların değil, aramayı bilen herkesin erişimine açık olduğu anlamına geliyordu.

Bu operasyonun asıl hedefi, Coinbase kripto borsasına ait bir veri deposuydu. Neyse ki, geliştiriciler bu tehdidi zamanında fark etti ve sistemin ele geçirilmesini engelledi. Saldırganlar, tj-actions/changed-files süreciyle ilgili kontrolü kaybetmek üzere olduklarını fark ettikten sonra, “spray and pray” (“dağıt ve dua et”) yöntemine yöneldiler. Bu durum, 23.000 depoyu gizli bilgilerin sızması riskiyle karşı karşıya bıraktı. Sonuç olarak, bu depolardan birkaç yüz tanesinde hassas kimlik bilgileri gerçekten de kamuoyuna ifşa oldu.

Nisan 2025: 21 Magento eklentisinde bir arka kapı

Nisan ayında, çevrimiçi mağaza kurmak için en popüler platformlardan biri olan Magento’nun çok sayıda eklentisinde bir güvenlik açığı tespit edildi. Arka kapı; Tigren, Meetanshi ve MGS adlı üç tedarikçi tarafından geliştirilen 21 modülde yerleşik olarak bulunuyordu. Bu uzantılar, aralarında en az bir tane çok uluslu şirketin de bulunduğu yüzlerce e-ticaret şirketinin altyapısının bir parçasıydı.

Bunu keşfeden araştırmacılara göre, bu arka kapı aslında 2019 yılında yerleştirilmişti. 2025 yılının Nisan ayında, saldırganlar nihayet bu açığı kullanarak web sitelerini ele geçirdiler ve web kabukları yüklediler. Bu, uzantılara yerleşik ve bir lisans dosyasından alınan rastgele kodu çalıştıran bir işlev aracılığıyla gerçekleştirildi.

İronik bir şekilde, virüs bulaşmış modüller arasında MGS GDPR ve Meetanshi CookieNotice de vardı. Adlarından da anlaşılacağı üzere, bu uzantılar web sitelerinin kullanıcı gizliliği ve veri işleme düzenlemelerine uymasına yardımcı olmak amacıyla tasarlanmıştır. Sonuç olarak, bu uygulamaların kullanımı gizliliği sağlamak yerine, büyük olasılıkla web skimming yoluyla kullanıcı verilerinin ve finansal varlıkların çalınmasına yol açtı.

Mayıs 2025: Güvenliği ihlal edilmiş bir MSP aracılığıyla yayılan fidye yazılımı

Mayıs ayında, DragonForce çetesine mensup fidye yazılımı saldırganları, adı açıklanmayan bir yönetilen hizmet sağlayıcısının (MSP) altyapısına erişim sağladı ve bunu fidye yazılımlarını yaymak ve MSP’nin müşteri kuruluşlarından veri çalmak için kullandı.

Görünüşe göre saldırganlar, MSP tarafından kullanılan uzaktan izleme ve yönetim aracı SimpleHelp’teki çeşitli güvenlik açıklarından yararlandı. Bunların arasında bir adet kritik güvenlik açığı da bulunuyordu. Bu güvenlik açıkları 2024 yılında tespit edilmiş ve Ocak 2025’te kamuoyuna duyurulup giderilmiştir. Ne yazık ki, MSP güncelleme sürecini aceleye getirmemeyi tercih etmiş görünüyor ve fidye yazılımı çetesi bu gecikmeden büyük bir memnuniyetle istifade etti.

Haziran 2025: Bir düzineden fazla popüler npm paketinde bir arka kapı

Yaz başında, saldırganlar Gluestack kütüphanesinin bakımından sorumlu kişilerden birinin hesabını ele geçirdi ve çaldıkları belirteçi kullanarak 17 npm paketine arka kapı yerleştirdi. Bu paketler arasında en popüler olan @react-native-aria/interactions, haftalık 125.000 indirme sayısına ulaşırken, güvenliği ihlal edilen tüm paketlerin toplam indirme sayısı bir milyonu aştı.

Bu olayda özellikle dikkat çeken husus, Gluestack geliştiricilerinin olayın ardından attığı adımlardır: İlk olarak, ikincil katkıcıların GitHub depolarına erişimini kısıtladılar. İkinci olarak, yeni sürümlerin yayınlanması için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirdiler. Üçüncü olarak ise; çekme isteği tabanlı iş akışı, sistematik kod incelemeleri, denetim günlüğü gibi güvenli geliştirme uygulamalarını hayata geçireceklerine söz verdiler. Diğer bir deyişle, olaydan önce haftada yüz binlerce kez indirilen bir projede bu tür önlemler alınmamıştı.

Temmuz 2025: Bir kimlik avı saldırısı yoluyla bulaşmış popüler npm paketleri

Temmuz ayında, npm paketleri bir kez daha gözde paketler oldu. Bunlar arasında, haftada 2,7 milyon kez indirilen, yaygın olarak kullanılan ve kısa ve öz bir isme sahip “is” paketi de yer alıyordu. Bu JavaScript yardımcı kütüphanesi, çok çeşitli tür denetimi ve değer doğrulama işlevleri sunar. Proje sahiplerinden birine yönelik bir kimlik avı saldırısı gerçekleştirmek için saldırganlar, bu alandaki en eski numarayı başarıyla kullandılar: Yazım hatası avcılığı (npmjs.com yerine npnjs.com alan adını kullanmak) ve resmi npm web sitesinin bir kopyası.

Daha sonra ele geçirdikleri hesabı kullanarak, içine yerleşik arka kapı bulunan paketin kendi versiyonlarından birkaçını yayınladılar. Virüs altı saat boyunca fark edilmeden kaldı. Bu süre, çok sayıda geliştiricinin zararlı npm paketlerini indirmesine yetecek kadar uzun bir zamandı.

Aynı kimlik avı taktiği diğer geliştiricilere karşı da kullanıldı. Saldırganlar, kötü amaçlı yüklerinin farklı varyantlarını yaymak için ele geçirilmiş birkaç geliştirici hesabını kullandı. Ayrıca, ele geçirdikleri malların bir kısmını gelecekteki saldırılar için saklamış olabileceklerine dair güçlü bir şüphe var.

Ağustos 2025: Singularity saldırısı ve yüzlerce geliştiricinin gizli bilgilerinin sızdırılması

Ağustos ayının sonlarında, “s1ngularity” olarak adlandırılan bir olay, JavaScript geliştiricilerini hedef alma eğilimini sürdürdü. Saldırganlar, popüler bir derleme sistemi ve CI/CD süreç optimizasyon aracı olan Nx’i ele geçirdi. Paketlere yerleştirilen kötü amaçlı kod, virüs bulaşmış geliştirici sistemlerinde kripto cüzdan anahtarları, npm ve GitHub belirteçleri, SSH anahtarları, API anahtarları ve daha pek çok hassas veriyi aradı.

İlginç bir şekilde, saldırganlar kurbanların bilgisayarlarındaki gizli bilgileri ele geçirmek için Claude Code, Gemini CLI ve Amazon Q gibi yerel olarak yüklenmiş yapay zeka araçlarını kullandılar. Buldukları her şey daha sonra, kurbanların adlarına oluşturulan ve “s1ngularity-repository”, “s1ngularity-repository-0” ve “s1ngularity-repository-1” başlıklarını taşıyan halka açık GitHub depolarına yüklendi. Tahmin edebileceğiniz gibi, saldırının adı da buradan geliyor.

Sonuç olarak, yüzlerce geliştiricinin kişisel verileri herkesin gözü önünde kalmış ve bu verilere sadece saldırganlar değil, internet bağlantısı olan herkes erişebilecek duruma gelmişti.

Eylül 2025: Haftada 2,6 milyar kez indirilen npm paketlerine bir kripto hırsızı saldırdı

Npm paketlerine yönelik güvenlik ihlalleri eğilimi Eylül ayına da sarktı. JavaScript geliştiricilerini hedef alan yeni bir kimlik avı saldırı kampanyasının ardından, saldırganlar birkaç düzine tanınmış projeye kötü amaçlı kod yerleştirebildi. Bunlardan bazıları, özellikle “chalk” ve “debug”, haftada yüz milyonlarca kez indiriliyor. Saldırı gerçekleştiği sırada, virüs bulaşmış paketlerin toplam indirilme sayısı haftada 2,6 milyarın üzerine çıkmıştı — ve o günden bu yana popülerlikleri giderek arttı.

Yük, bir kripto hırsızıydı: Kripto para işlemlerini ele geçirip saldırganların cüzdanlarına yönlendirmek üzere tasarlanmış bir kötü amaçlı yazılımdı. Neyse ki, dünyanın en popüler projelerinden bazılarını başarıyla sabote etmelerine rağmen, saldırganlar bir şekilde operasyonlarının son aşamasını mahvetmeyi başardılar. Sonunda, sadece 925 $ ile ayrıldılar.

Tam bir hafta sonra, bir başka büyük olay yaşandı: Kendi kendine yayılan Shai-Hulud kötü amaçlı yazılımının ilk dalgası, CrowdStrike’ın projeleri de dahil olmak üzere yaklaşık 150 npm paketini etkiledi. Ancak, birkaç ay sonra gelen ikinci dalga, çok daha yıkıcı oldu. Yazının devamında Great Worm’a daha yakından bakacağız.

Ekim 2025: GlassWorm, Visual Studio Code ekosistemini ele geçiriyor

Shai-Hulud saldırısından yaklaşık bir ay sonra, GlassWorm olarak adlandırılan benzer bir kendi kendine yayılan kötü amaçlı yazılım, hem Open VSX Registry hem de Microsoft Extension Marketplace’teki Visual Studio Code uzantılarını etkilemeye başladı. Saldırganlar, GitHub, Git, npm ve OpenVSX hesaplarının yanı sıra kripto cüzdan anahtarlarını da hedef alıyordu.

GlassWorm’un yaratıcıları, komuta ve kontrol altyapılarında son derece yaratıcı bir yaklaşım benimsedi: Solana blok zincirindeki bir kripto cüzdanını birincil C2 olarak kullandılar ve Google Takvim’i yedek iletişim kanalı olarak kullandılar.

Saldırganlar; kurbanların kripto cüzdanlarını boşaltıp hesaplarını ele geçirerek solucanı daha da yaymakla kalmadılar, aynı zamanda virüs bulaşmış cihazlara “Zombi” adlı bir RAT yerleştirdiler ve bu sayede ele geçirilen sistemler üzerinde tam kontrol elde ettiler.

Kasım 2025: IndonesianFoods saldırı kampanyası ve npm’de 150.000 spam paketi

Kasım ayında, npm kayıt defterinde yeni bir sorun ortaya çıktı. “IndonesianFoods” olarak adlandırılan koordineli bir kötü niyetli saldırı kampanyası kapsamında, saldırganlar kayıt defterini on binlerce gereksiz paketle doldurdu.

Buradaki temel amaç, açık kaynaklı yazılım geliştiricilerini ödüllendirmek üzere tasarlanmış bir blok zinciri platformu olan tea.xyz’de, istatistikleri şişirmek ve belirteç toplamak için sistemi suistimal etmekti. Bunu başarmak için saldırganlar, zul-tapai9-kyuki veya andi-rendang23-breki gibi Endonezya mutfağına atıfta bulunan isimlere sahip, birbirine bağlı projelerden oluşan devasa bir ağ kurdular.

Bu saldırı kampanyasının yaratıcıları, hesapları ele geçirme zahmetine girmedi. Aslında, spam paketleri kötü amaçlı bir içerik bile barındırmıyordu. Tabii, her yedi saniyede bir otomatik olarak yeni paketler oluşturmak üzere tasarlanmış bir komut dosyasını saymazsak. Bununla birlikte, bu olay npm altyapısının büyük çaplı spam saldırı kampanyalarına karşı ne kadar savunmasız olduğunu açıkça ortaya koydu.

Aralık 2025: Shai-Hulud 2.0 ve 400.000 geliştirici sırrının sızdırılması

Yılın en önemli olayı, sadece tedarik zinciri saldırıları açısından değil, muhtemelen tüm siber güvenlik alanı açısından da geliştiricileri hedef alan kendi kendine yayılan Shai-Hulud (Sha1-Hulud olarak da bilinir) adlı kötü amaçlı yazılımdı.

Bu kötü amaçlı yazılım, daha önce bahsettiğimiz s1ngularity saldırısının mantıksal bir devamı niteliğindeydi; o da sistemlerde her türlü gizli bilgiyi tarıyor ve bunları açık GitHub depolarında yayınlıyordu. Ancak Shai-Hulud, bu temel yapıya kendi kendine yayılma mekanizması ekledi. Solucan, halihazırda ele geçirilmiş geliştiricilerin kontrolündeki projelere, çalınan kimlik bilgilerini kullanarak bulaşıyordu.

Shai-Hulud’un ilk dalgası Eylül ayında ortaya çıktı ve yüzlerce npm paketini etkiledi. Ancak yılın sonlarına doğru, Shai-Hulud 2.0 olarak adlandırılan ikinci bir dalga geldi.

Bu sefer, solucan silici işleviyle güncellendi. Kötü amaçlı yazılım, virüs bulaşmış bir sistemde geçerli npm veya GitHub belirteçlerini bulamadığında, kullanıcı dosyalarını silen yıkıcı bir yükü tetikledi.

Saldırı sonucunda toplamda yaklaşık 400.000 gizli bilgi sızdırıldı. Şunu belirtmek gerekir ki, tıpkı s1ngularity vakasında olduğu gibi, tüm bu hassas veriler, saldırganlar tarafından değil, herhangi bir kişi tarafından indirilebilecek şekilde halka açık depolara düşmüştür. Ayrıca, bu saldırının etkilerinin uzun bir süre daha hissedileceği de son derece muhtemel.

Shai-Hulud tarafından sızdırılan gizli bilgileri kullanan bir güvenlik açığının ilk teyit edilmiş vakalarından biri, birkaç bin Trust Wallet kullanıcısını hedef alan bir kripto para hırsızlığıydı. Saldırganlar, Noel arifesinde bu gizli bilgileri kullanarak, yerleşik bir kripto para hırsızlığı özelliğine sahip Trust Wallet uzantısının kötü amaçlı bir sürümünü Chrome Web Mağazası’na yüklediler. Sonunda, 8,5 milyon dolarlık kripto parayı ele geçirip kaçmayı başardılar.

Tedarik zinciri saldırılarına karşı nasıl korunulur?

2024 yılı için benzer bir geriye dönük değerlendirme hazırlarken, “bir ay, bir tehdit” yapısına sadık kalmanın oldukça kolay olduğunu gördük. Ancak 2025 için böyle bir hedef çok daha zorluydu. Geçen yıl o kadar çok büyük çaplı tedarik zinciri saldırısı yaşandı ki, hepsini bu tek genel bakışa sığdırmamız mümkün olmadı.

2026 yılı da en az bu yıl kadar yoğun geçecek gibi görünüyor; bu nedenle, tedarik zinciri saldırılarını önlemeye yönelik özel yazımızı okumanızı tavsiye ederiz. O zamana kadar, işte öne çıkan noktalar:

• Tedarikçilerinizi kapsamlı bir şekilde değerlendirin ve kendi projelerinize entegre ettiğiniz kodları titizlikle denetleyin.
• Hizmet sözleşmelerinize sıkı güvenlik şartlarını doğrudan dahil edin.
• Kapsamlı bir olay müdahale planı hazırlayın.
• Bir XDR çözümü kullanarak kurumsal altyapınızı şüpheli faaliyetlere karşı izleyin.
• Şirket içi güvenlik ekibinizin kapasitesi yetersizse, proaktif tehdit avcılığı ve zamanında müdahale için harici bir hizmetten faydalanın.

Tedarik zinciri saldırıları hakkında daha fazla bilgi edinmek istiyorsanız, Tedarik Zinciri Reaksiyonu: Karşılıklı Bağımlılık Çağında Küresel Dijital Ekosistemin Güvenliği başlıklı analiz raporumuzu okuyun. Bu rapor, teknik uzmanların görüşlerine dayanmaktadır ve kuruluşların tedarik zinciri ve güvenilir ilişkilerle ilgili risklerle ne sıklıkla karşılaştıklarını, hangi alanlarda koruma eksiklikleri bulunduğunu ve bu tür tehditlere karşı dayanıklılığı artırmak için hangi stratejilerin uygulanması gerektiğini ortaya koymaktadır.