Popüler yapay zeka geliştirme kütüphanelerinden Mastra’nın npm paketleri, tedarik zinciri saldırısının hedefi oldu. Saldırganlar, Mastra ekosistemindeki 144’ten fazla paketi, ele geçirdikleri bir katkıda bulunan hesabı kullanarak kısa sürede kötü amaçlı içerikle güncelledi.
Saldırının Genel Dinamikleri
Mastra (@mastra/*) isim alanındaki npm paketleri, 17 Haziran 2026 tarihinde “ehindero” adlı npm kullanıcısının kontrolü ele geçirmesiyle tehlikeye girdi. 88 dakikalık otomatik bir yayımlama süreci içinde 140’tan fazla paket, zararlı bir üçüncü taraf kütüphane olan “easy-day-js” bağımlılığı eklenerek güncellendi. İlginç olan, paketlerin kendi kodlarında zararlı içerik bulunmaması; asıl tehdit, bu sahteklikte gizlenmiş dış kütüphaneden kaynaklanıyor.
Malware’in Teknik Yapısı ve Etkileri
Easy-day-js isimli kütüphane, meşhur “dayjs” tarih kütüphanesinin kopyası gibi görünüyor. Ancak bu kütüphane, kripto para cüzdanlarını hedef alan, uzaktan erişim sağlayan ve bilgi çalan bir trojan içeriyor. İlk temiz sürüm 16 Haziran 2026’da yayımlanırken, zararlı modifikasyonlar ertesi gün devreye sokuldu.
Saldırganlar, TLS sertifika doğrulamasını devre dışı bırakarak uzaktan kontrol ettikleri IP adreslerinden ikinci aşama zararlıyı indirip arka planda başlatıyor. Yükleyici, kendisini silerek iz bırakmaktan kaçınıyor. Son aşamada ise, Windows, macOS ve Linux üzerinde çalışan, tarayıcı geçmişi ve 160’tan fazla kripto cüzdan tarayıcı eklentisinden veri çalabilen çapraz platform bilgi hırsızı devreye giriyor.
Bu zararlı, komuta kontrol sunucusundan komut alabiliyor, ek modüller indirip çalıştırabiliyor. Böylece hem kalıcılık sağlıyor hem de saldırganların sistemi uzaktan yönetmesine olanak tanıyor.
Yüksek Riskli Hedef: Yapay Zeka ve Bulut Ortamları
Mastra paketleri, AI geliştirme ve bulut altyapılarında yaygın kullanıldığı için hassas kimlik bilgileri içeren ortamlar bu saldırılarla doğrudan tehdit altında. Paketler haftalık 900 binden fazla indirildiğinden, etki alanı geniş ve potansiyel zarar ciddi.
Birçok sistem, paketi kullanmaya başlamadan önce bile, yükleme aşamasında zararlı kodun çalışması sebebiyle enfekte olabiliyor. Bu durum, yazılım tedarik zinciri saldırılarının modern yazılım geliştirmedeki zayıf noktalarından birini gözler önüne seriyor.
Güvenlik Önlemleri ve Müdahale Önerileri
Öncelikle, etkilenen paketlerin derhal güvenli sürümlere döndürülmesi gerekiyor. Sistemde kullanılan kimlik bilgileri mutlaka yenilenmeli. Ayrıca, yükleme sırasında çalışan süreçlerin tespiti için gelişmiş EDR çözümleri devreye alınmalı, paketlerin imza doğrulamasıyla kontrolü sağlanmalı.
Log yönetimi ve SIEM sistemleri, şüpheli postinstall aktivitelerini ve ağ trafiğini izleyerek anormal bağlantılarla ilgili uyarılar oluşturabilir. Ağ segmentasyonu ile kritik sistemler izole edilmeli, bu tür tedarik zinciri saldırılarının yayılması engellenmeli.
Bu olay, npm ve benzeri paket yöneticilerinde yetki kontrollerinin ne denli önemli olduğunu da gösteriyor. Ele geçirilen hesapların erişim izinlerinin düzenli olarak gözden geçirilmesi, çok faktörlü kimlik doğrulama (MFA) zorunluluğu hayati.
Sonuç ve Değerlendirme
Mastra paketlerinin tedarik zinciri saldırısına maruz kalması, modern yazılım geliştirme süreçlerindeki güvenlik açıklarını ortaya koyuyor. Özellikle yapay zeka ve bulut tabanlı hizmetlerde, güvenlik zincirinin en zayıf halkası hedef alındığında, etkiler çok geniş çaplı olabiliyor. Kurumlar, paket yöneticilerinde imza doğrulama ve güvenilirlik kontrollerini sıkılaştırmalı, olay müdahale planlarını bu tür senaryolar için güncellemelidir.