Haberler 
Coin Bilgisi 
Hakkımızda 
Axios’ta tespit edilen ‘tedarik zinciri saldırısı’ iddiası, Web3 geliştirici ekosisteminde ciddi bir ‘güvenlik alarmı’ yarattı. JavaScript dünyasının en çok kullanılan paketlerinden biri olan Axios’un, milyonlarca projede potansiyel bir ‘kötü amaçlı yazılım dağıtım kanalı’na dönüşmüş olabileceği endişesi öne çıkıyor.
Güvenlik şirketi Socket Security’nin kurucu ortağı Feross Aboukhadijeh(Feross Aboukhadijeh), npm üzerindeki popüler paket Axios’ta ‘canlı tedarik zinciri saldırısı’ tespit ettiklerini açıkladı. 2 milyondan fazla açık kaynaklı JavaScript paketine ev sahipliği yapan npm(Node Package Manager), özellikle Web3 geliştirme tarafında ‘kritik altyapı’ olarak konumlanıyor.
Şüphelerin odağında ise Axios’un en güncel sürümü [email protected] yer alıyor. Bu sürümün, aynı gün içinde oluşturulduğu belirlenen ‘[email protected]’ isimli şüpheli bir paketi otomatik olarak içe aktardığı bildiriliyor. Normal yayın döngüsüne uymayan bu durum, paket zincirinin ‘ihlale uğramış olabileceği’ değerlendirmelerine yol açtı.
Aboukhadijeh, söz konusu vakayı ‘tipik bir tedarik zinciri tabanlı yükleyici kötü amaçlı yazılım’ örneği olarak nitelendirdi. Haftada 100 milyondan fazla indirme rakamına ulaşan Axios’un, en son sürüme güncelleme yapan her projede potansiyel bir saldırı yüzeyi oluşturabileceği vurgulanıyor.
Socket Security’nin yapay zekâ destekli kod analizi, şüpheli paketin ‘obfuscation’ uygulanmış bir ‘dropper’ yani ek kötü amaçlı yazılım indirmek ve çalıştırmak için kullanılan ilk bulaşma aracı olduğunu ortaya koydu. Analize göre bu ‘kötü amaçlı yazılım’, çalıştıktan sonra dosyaları silerek veya yeniden adlandırarak ‘adli iz takibini’ zorlaştırıyor, işletim sisteminin geçici klasörleri ile Windows ProgramData dizinine ‘payload’ kopyalıyor ve çözümlenen kabuk(shell) komutlarını çalıştırarak ek saldırı adımlarını devreye sokabiliyor.
Uzmanlar, Axios kullanan geliştiricilerin ‘hemen aksiyon’ alması gerektiğinin altını çiziyor. Önerilen adımlar arasında; en son sürüme güncellemeyi durdurmak, projelerde kullanılan Axios sürümünü sabitlemek(‘pin’ etmek) ve özellikle ‘lockfile’ dosyalarını kapsamlı bir güvenlik taramasından geçirmek yer alıyor.
Bu olay, açık kaynak bağımlılığı yüksek olan Web3 ve genel yazılım sektöründe ‘tedarik zinciri güvenliği’nin kritik önemini bir kez daha gündeme taşıdı. Tek bir popüler pakette yaşanacak ‘ihlal’in, çok geniş bir ekosisteme hızla yayılabileceği gerçeği, geliştirme ortamlarının uçtan uca ‘güvenlik odaklı’ yönetilmesini artık kaçınılmaz hale getiriyor.
Yorum 0