2024-2025 Döneminde Kritik Siber Tehditler: npm Solucanı, M365 Token Hırsızlığı ve Firefox RCE Açığı

Anasayfa » 2024-2025 Döneminde Kritik Siber Tehditler: npm Solucanı, M365 Token Hırsızlığı ve Firefox RCE Açığı
APT, Bulut Güvenliği, Zafiyetler
Aralık 3, 2025Aralık 3, 2025Tarafından Cybernews.TR
7
2024-2025 Döneminde Kritik Siber Tehditler: npm Solucanı, M365 Token Hırsızlığı ve Firefox RCE Açığı

2024 sonu ve 2025 başında, siber saldırganlar npm kayıt defterinde “Sha1-Hulud: The Second Coming” adlı kendi kendini çoğaltan solucan varyantıyla 800’den fazla paketi ve 27.000 GitHub deposunu hedef aldı. Bu tedarik zinciri saldırısı, API anahtarları, bulut kimlik bilgileri ve GitHub kimlik doğrulama tokenları gibi hassas verileri çalmayı amaçladı. Solucan, GitHub Actions iş akışlarına kötü amaçlı kod enjekte ederek depo sırlarını ele geçirdi ve paketleri arka kapı ile değiştirdi. Toplamda 294.842 gizli bilgi tespiti yapıldı; bunlar arasında AWS IAM anahtarları, Slack webhook URL’leri ve OpenAI API anahtarları da yer aldı.

Microsoft 365 ve Outlook Erişim Tokenları Hedefte

ToddyCat adlı gelişmiş kalıcı tehdit (APT) grubu, 2024 sonu ve 2025 başında Microsoft 365 erişim tokenlarını ve Outlook posta verilerini çalmaya yönelik araç setini güncelledi. Bu kampanya, ESET tarafından tespit edilen TCESB kötü amaçlı yazılımının ardından ikinci büyük araç değişimini temsil ediyor. Saldırganlar, kimlik bilgilerini ele geçirerek kurbanların e-posta arşivlerine ve erişim tokenlarına ulaşabiliyor.

Firefox WebAssembly Motorunda Kritik RCE Açığı

Firefox 145 sürümünde yamalanan CVE-2025-13016, WebAssembly motorundaki bir bellek bozulması açığıdır. Güvenlik araştırmacısı tarafından tespit edilen bu zafiyet, std::copy işlemi sırasında uint8_t* ve uint16_t* işaretçilerinin karıştırılması sonucu rastgele kod yürütmeye olanak sağlıyor. Nisan 2025’te eklenen açık, Ekim ayına kadar fark edilmedi ve aktif olarak istismar edildi.

Teknik Özet ve Saldırı Zinciri

  • Kullanılan zararlılar ve araçlar: Sha1-Hulud npm solucanı, ToddyCat APT araç seti, TCESB kötü amaçlı yazılımı, ShadowPad, Cryptomixer kripto karıştırıcı.
  • Hedef sektörler ve bölgeler: Yazılım geliştirme, finans sektörü (özellikle Güney Kore), bulut hizmetleri kullanıcıları, hükümet ve askeri yetkililer (ABD, Orta Doğu, Avrupa).
  • Kritik CVE’ler: CVE-2025-13016 (Firefox RCE), CVE-2025-59287 (WSUS açığı), CVE-2025-12972 ve diğer Fluent Bit, Tenda, ASUS, NVIDIA, GitLab, Angular HttpClient gibi çeşitli ürünlerdeki zafiyetler.
  • Saldırı zinciri örneği: npm paket kurulumu sırasında solucan bulaşması → API anahtarlarının çalınması → GitHub Actions iş akışlarına kötü amaçlı kod enjekte edilmesi → bulut ortamlarında yetkisiz erişim.
  • Önerilen savunma yaklaşımları: Tedarik zinciri güvenliği için paket doğrulama, düzenli yamaların uygulanması, çok faktörlü kimlik doğrulama (MFA), IAM politikalarının sıkılaştırılması, SIEM ve EDR çözümleri ile anomali tespiti.

Siber Güvenlik Ekipleri İçin Pratik Öneriler

  • npm ve PyPI gibi paket kaynaklarını düzenli olarak izleyin ve şüpheli paketleri engelleyin.
  • GitHub Actions iş akışlarında gizli bilgilerin sızmasını önlemek için erişim izinlerini kısıtlayın ve sırrı yönetim politikalarını uygulayın.
  • Microsoft 365 ortamlarında erişim tokenlarını ve posta kutusu aktivitelerini anlık izleyin, olağan dışı hareketleri tespit edin.
  • Firefox ve diğer kritik yazılımlar için yayımlanan yamaları derhal uygulayın.
  • WSUS ve diğer güncelleme servislerinin güvenlik açıklarını kapatmak için düzenli denetimler yapın.
  • APT faaliyetlerine karşı davranışsal analiz ve tehdit istihbaratı entegrasyonu sağlayın.
  • Bulut ortamlarında IAM ve Zero Trust prensiplerini benimseyerek erişim kontrollerini sıkılaştırın.
  • Olay müdahale planlarını güncel tutun ve tedarik zinciri saldırılarına karşı hazırlıklı olun.

Kurumsal Senaryo: Finans Sektöründe Tedarik Zinciri Saldırısı

Güney Kore finans sektöründe, Qilin fidye yazılımı dağıtımıyla bağlantılı tedarik zinciri saldırısı, bir MSP’nin ihlal edilmesiyle başladı. Bu ihlal, Moonstone Sleet adlı Kuzey Kore bağlantılı tehdit aktörlerinin potansiyel katılımıyla gerçekleşti. MSP erişiminin kötüye kullanılmasıyla onlarca finans kuruluşu aynı anda etkilenirken, 2 TB’tan fazla veri sızdırıldı. Bu olay, bulut güvenliği ve ağ segmentasyonunun önemini bir kez daha ortaya koydu.

Sonuç ve Önemli Hatırlatmalar

Bu dönem, küçük ve sıradan görünen güvenlik açıklarının bile büyük ihlallere yol açabileceğini gösterdi. Özellikle tedarik zinciri ve bulut ortamlarında güvenlik kontrollerinin sıkılaştırılması, güncel yamaların uygulanması ve erişim yönetiminin iyileştirilmesi kritik. Siber güvenlik ekipleri, e-posta güvenliği, fidye yazılımı savunması ve bulut güvenliği alanlarında entegre çözümlerle saldırıların önüne geçmeli.

, , , , , , ,