Bir geliştiricinin açtığı proje klasöründe yer alan kötü niyetli bir ikili dosya, kullanıcının izinleriyle Windows üzerinde rastgele kod çalıştırabiliyor. Bu zafiyet, herhangi bir komut istemi veya ek yazılım olmadan, sadece klasörün açılması ile tetikleniyor.
Saldırının İşleyişi
Cursor adlı kod otomasyon aracında tespit edilen bu açık, projeye yüklenen bir zararlı ikili dosyanın, kullanıcının kimliğiyle arka planda sürekli çalıştırılmasına olanak sağlıyor. Araştırmalar, Cursor’un proje açılırken çeşitli dizinlerde git ikili dosyasını aradığını ve çalışma alanı kökünde bulunan zararlı bir git.exe‘nin kolayca devreye girdiğini gösteriyor. Böylece saldırgan, klonlanan herhangi bir depoda bu dosyayı konumlandırarak hedef kullanıcı hesabında kod çalıştırabiliyor.
Kimler Tehlikede?
Bu açık, özellikle Windows üzerinde çalışan geliştiricileri ve onların kullandığı otomasyon araçlarını etkiliyor. Zararlı dosyanın projeye sızması için tek yol, saldırganın herkese açık bir repoyu etkilemesi veya hedef kullanıcının kötü niyetli bir depoyu klonlaması. Kurumsal ortamlarda yönetilen Windows cihazlarda ise AppLocker veya Windows Uygulama Kontrol politikaları devreye alınmadıysa risk devam ediyor.
Tehditin Yaygınlığı ve Yanıt Süreci
Bu zafiyetin keşfi Aralık 2025’te yapıldı ancak hâlâ resmi bir yamaya kavuşmadı. Cursor tarafından henüz bir güvenlik uyarısı yayınlanmadı. Analizler, hatanın Cursor sürüm 3.2.16 ve daha yeni sürümlerde de devam ettiğini gösteriyor. Diğer yandan, benzer sorunlar farklı yapay zeka destekli kod araçlarında da gözlemlendi ancak çoğunlukla yama veya ciddi önlem alınmadı.
Nasıl Korunmalı?
Henüz resmi bir düzeltme olmadığından, uzmanlar çalıştırılabilir dosyaların proje kökünde yer almasını engelleyecek kurallar uygulanmasını öneriyor. Yönetilen Windows ortamlarında, kullanıcı profili altındaki %USERPROFILE%\source\repos\*\filename.exe gibi yollar için AppLocker veya Windows Uygulama Kontrol kısıtlamaları getirilebilir. Ayrıca, güvenilmeyen repoları sanal makineler veya Windows Sandbox içinde açmak riskleri azaltır. Reponun içinde git.exe, npx.exe, node.exe gibi beklenmeyen yürütülebilir dosyalar bulunması da ciddi bir uyarı işaretidir.
Teknik Özet
- Hedef: Windows tabanlı geliştirme ortamları
- Zafiyet Türü: Güvensiz arama yolu ve çalışma alanı kökünde zararlı ikili dosya
- İstismar Adımları: Zararlı
git.exedosyası depo köküne yerleştirilir, proje açılır açılmaz dosya çalıştırılır - CVE: Henüz resmi CVE ataması yok
- Öneri: AppLocker/Windows Uygulama Kontrol, sanal ortamda çalışma, klonlanan repoların ön kontrolü
Saldırı Zinciri ve Kurumsal Riskler
Bir finans kurumunda çalışan geliştiricinin, dışardan gelen ve doğruluğu teyit edilmemiş bir Git deposunu klonlamasıyla başlayabilir. Proje açılırken zararlı git.exe otomatik devreye girer ve kurumun ağında yetkisiz kod çalıştırma gerçekleşir. Bu durum, kimlik bilgileri ve SSH anahtarlarının çalınmasına yol açabilir. Kurumsal ağ segmentasyonu ve olay müdahale süreçlerinin bu tür senaryolara hazırlıklı olması kritik.
