Mayıs 2026 ortalarında başlayan ve Mini Shai-Hulud solucan varyantı olarak tanımlanan Miasma, Microsoft’un GitHub üzerindeki dört organizasyonunda yer alan 73 depoyu etkileyen geniş çaplı bir tedarik zinciri saldırısı kampanyasıdır. Bu saldırı, Azure, Azure-Samples, Microsoft ve MicrosoftDocs gibi kritik projelerde yer alan yazılım bileşenlerini hedef almıştır.
Saldırının Genel Çerçevesi
Miasma, kendini çoğaltabilen bir solucan olarak, özellikle geçen ay TeamPCP tarafından Linux sistemlerde bilgi çalmak amacıyla enfekte edilen “durabletask” PyPI paketinin yeniden ele geçirilmesiyle dikkat çekmiştir. Bu paket ve ilişkili .NET, Go, Java, JavaScript, MSSQL gibi çeşitli Durable Task ekosistemi bileşenleri, saldırganların eline geçmiştir. Saldırganlar, GitHub üzerinde yeni oluşturdukları depolara “Miasma: The Spreading Blight” ve “Hades – The End for the Damned” gibi isimler vererek kötü amaçlı kodlarını yaymaktadır.
Özellikle npm kayıt defteri yerine doğrudan GitHub kaynak depolarına zararlı kod eklenmesi, saldırının tespiti ve önlenmesini zorlaştırmaktadır. Örneğin, “icflorescu/mantine-datatable” ve ilişkili dört depo, 4.3 MB büyüklüğünde otomatik çalışan bir payload ile enfekte edilmiştir. Bu payload, Claude Code, Gemini CLI, Cursor, VS Code ve npm test scripti gibi geliştirici araçları üzerinden tetiklenmektedir.
Hangi Sistemler Risk Altında?
Bu saldırı, açık kaynak ekosisteminde yazılım tedarik zincirine güvenen tüm geliştiriciler ve kurumlar için ciddi bir tehdit oluşturmaktadır. Özellikle Azure ve Microsoft ekosisteminde çalışan, Durable Task gibi kritik paketleri kullanan yazılım projeleri risk altındadır. Saldırının yayılma hızı ve kapsamı, downstream kullanıcıların da etkilenmesine yol açmakta, böylece saldırı zinciri katlanarak büyümektedir.
Saldırı Zinciri ve Teknik Detaylar
- Kötü Amaçlı Araçlar: Miasma solucanı, Mini Shai-Hulud varyantı, bilgi hırsızı modüller.
- Hedefler: Microsoft GitHub organizasyonları, PyPI paketleri, npm dışı doğrudan GitHub depoları.
- Saldırı Adımları: Yetkisiz erişimle depo ele geçirilmesi, zararlı payload eklenmesi, geliştirici araçları üzerinden otomatik tetikleme.
- Teknik Özellikler: 4.3 MB büyüklüğünde payload, otomatik çalışan yükleyici, beş farklı IDE ve komut satırı aracı ile entegrasyon.
- MITRE ATT&CK Referansları: T1584.001 (Kötü Amaçlı Yazılım Yükleme), T1078 (Geçerli Hesapların Kullanımı), T1195 (Tedarik Zinciri Saldırıları).
Siber Güvenlik Ekipleri İçin Öneriler
- GitHub ve PyPI gibi kaynaklarda olağan dışı erişim ve değişiklik aktivitelerini SIEM sistemleriyle sürekli izleyin.
- EDR çözümleri ile geliştirici makinelerinde anormal dosya çalıştırma ve ağ iletişimlerini tespit edin.
- Yazılım tedarik zinciri güvenliği için IAM politikalarını güçlendirin ve MFA kullanımını zorunlu kılın.
- Geliştirici araçları ve IDE eklentilerinde şüpheli davranışları engellemek için güvenlik kuralları oluşturun.
- Yayınlanan paketlerin dijital imzalarını doğrulayarak sahte paketlerin kullanımını engelleyin.
- Olay müdahale planlarınızı tedarik zinciri saldırılarına karşı güncelleyin ve düzenli tatbikatlar yapın.
- Ağ segmentasyonu ile kritik geliştirme ortamlarını izole edin ve erişim kontrollerini sıkılaştırın.
- Bulut güvenliği çözümlerini kullanarak kaynak erişimlerini ve veri hareketlerini detaylı şekilde takip edin.
Bu saldırı, açık kaynak yazılım ekosisteminde güven modeli zafiyetlerini ortaya koymakta ve tedarik zinciri saldırılarının ne kadar karmaşık ve yaygın hale geldiğini göstermektedir. Özellikle Türkiye’deki kurumlar da dahil olmak üzere, yazılım geliştirme süreçlerinde tedarik zinciri güvenliği öncelikli hale getirilmelidir.