Rust Paketleri ve AI Destekli Botlarla Geliştirici Sırlarına Yönelik İki Farklı Tedarik Zinciri Saldırısı

Anasayfa » Rust Paketleri ve AI Destekli Botlarla Geliştirici Sırlarına Yönelik İki Farklı Tedarik Zinciri Saldırısı
Siber Tehditler, Tedarik Zinciri Saldırıları, Zafiyetler
Mart 15, 2026Mart 15, 2026Tarafından Cybernews.TR
0
Rust Paketleri ve AI Destekli Botlarla Geliştirici Sırlarına Yönelik İki Farklı Tedarik Zinciri Saldırısı

Rust Paketleri Üzerinden Geliştirici Sırlarının Çalınması

2026 yılının Şubat sonu ile Mart başı arasında, crates.io üzerinde yayımlanan beş kötü amaçlı Rust paketi geliştirici ortamlarından hassas verileri çalmak üzere tasarlandı. “chrono_anchor”, “dnp3times”, “time_calibrator”, “time_calibrators” ve “time-sync” adlı paketler, timeapi.io servisini taklit ederek .env dosyalarındaki API anahtarları, tokenlar ve diğer sırları hedef aldı. Bu paketlerin ortak veri sızdırma yöntemi ve benzer alan adı kullanımı, tek bir tehdit aktörünün arkasında olduğunu gösteriyor.

Özellikle “chrono_anchor” paketi, sızdırma mantığını “guard.rs” dosyasında gizleyerek tespit edilmekten kaçınıyor ve sürekli entegrasyon (CI) iş akışları her tetiklendiğinde .env dosyalarındaki sırları tekrar tekrar sızdırmaya çalışıyor. Bu yöntem, kalıcılık sağlamaktan çok, CI/CD boru hattı üzerinden sürekli veri sızıntısı amaçlıyor.

Yapay Zeka Destekli Bot ile GitHub Actions Sömürüsü

Paralel olarak, 21-28 Şubat 2026 tarihleri arasında “hackerbot-claw” adlı yapay zeka destekli bot, GitHub Actions iş akışlarını hedef alan otomatik saldırılar gerçekleştirdi. Bu bot, yanlış yapılandırılmış CI/CD boru hatlarını tarayarak hedef depoları çatalladı, kötü amaçlı yükler hazırladı ve çekme istekleriyle iş akışlarını tetikleyerek sırları ele geçirdi.

En yüksek profilli hedeflerden biri, popüler güvenlik tarayıcısı “aquasecurity/trivy” deposuydu. Burada bot, pull_request_target iş akışı üzerinden Kişisel Erişim Tokenı (PAT) çaldı ve bu kimlik bilgisiyle depo ele geçirildi. Ayrıca, Trivy’nin Visual Studio Code eklentisinin 1.8.12 ve 1.8.13 sürümlerine kötü amaçlı kod enjekte edilerek yerel AI kodlama asistanlarının yüksek izinlerle hassas verileri toplaması sağlandı. Bu olay CVE-2026-28353 olarak kayıt altına alındı.

Saldırı Zinciri ve Teknik Detaylar

  • Kötü Amaçlı Rust Paketleri: crates.io üzerinden yayımlanan paketler, .env dosyalarındaki sırları hedefleyerek CI/CD iş akışları üzerinden veri sızdırıyor.
  • AI Destekli Bot (hackerbot-claw): GitHub Actions iş akışlarını tarayıp, hedef depoları çatallayarak kötü amaçlı kodu çalıştırıyor ve sırları ele geçiriyor.
  • Kritik Hedefler: Microsoft, Datadog, Aqua Security gibi büyük açık kaynak depoları ve özellikle Trivy güvenlik tarayıcısı.
  • Zafiyetler ve İstismarlar: Yanlış yapılandırılmış CI/CD boru hatları, pull_request_target iş akışları, Open VSX eklenti sürümleri 1.8.12 ve 1.8.13.
  • CVE Referansı: CVE-2026-28353 (Trivy VS Code eklenti tedarik zinciri ihlali).

Siber Güvenlik Ekipleri İçin Öneriler

  • crates.io ve diğer paket yönetim sistemlerinden indirilen paketlerin güvenilirliğini doğrulayın ve şüpheli paketleri derhal kaldırın.
  • .env dosyalarında bulunan API anahtarları ve tokenları düzenli olarak yenileyin ve erişim izinlerini kısıtlayın.
  • CI/CD boru hatlarındaki iş akışlarını gözden geçirerek, özellikle pull_request ve pull_request_target tetikleyicilerinin doğru yapılandırıldığından emin olun.
  • GitHub Actions ve benzeri otomasyon araçlarında erişim izinlerini en aza indirerek, gereksiz yetki verilmemesine dikkat edin.
  • EDR ve SIEM sistemlerinde paket yönetimi, CI/CD iş akışları ve AI destekli ajanların davranışlarını izlemek için özel kurallar oluşturun.
  • Bulut güvenliği ve ağ segmentasyonu uygulayarak, sızdırılan sırların daha geniş sistemlere yayılmasını önleyin.
  • Olay müdahale planlarınızı geliştirici makinelerinde çalışan AI kodlama ajanlarını da kapsayacak şekilde güncelleyin.

Kurumsal Senaryo: SaaS Sağlayıcısında Riskler

Bir SaaS sağlayıcısı, Rust paketlerini ve GitHub Actions iş akışlarını yoğun şekilde kullanıyor. Kötü amaçlı “chrono_anchor” paketi, geliştirici makinelerindeki .env dosyalarından API anahtarlarını çalıyor. Aynı zamanda, hackerbot-claw botu, yanlış yapılandırılmış CI/CD boru hattını kullanarak çekme istekleri üzerinden kötü amaçlı kodu çalıştırıyor ve erişim tokenlarını ele geçiriyor. Bu durum, bulut ortamındaki veritabanlarına ve üçüncü taraf API’lere yetkisiz erişimle sonuçlanarak veri sızıntısı ve hizmet kesintilerine yol açabilir.

Bu senaryoda, IAM politikalarının sıkılaştırılması, CI/CD iş akışlarının güvenlik denetimlerinin artırılması ve geliştirici makinelerinde çalışan AI ajanlarının davranışlarının izlenmesi kritik önlemler olarak öne çıkmaktadır.

, , , , , , ,