Sha1-Hulud tedarik zinciri saldırısının ikinci dalgası, npm paketleri üzerinden ön yükleme aşamasında çalışan kötü amaçlı betikler aracılığıyla 25.000’den fazla depoyu etkiledi. Saldırganlar, GitHub iş akışlarına sızarak hassas kimlik bilgilerini çalıyor ve ele geçirilen makinelerde rastgele komutlar çalıştırabiliyor. Türkiye’deki kurumlar için kritik altyapı ve KVKK uyumluluğu açısından önemli ri
GitHub'a ait depoları hedef alan kötü amaçlı bir npm paketi, Veracode tarafından tespit edildi. Ancak GitHub, bu paketlerin kendi Kırmızı Takım tatbikatlarının bir parçası olduğunu açıkladı. Olay, tedarik zinciri saldırılarının karmaşıklığını ve güvenlik önlemlerinin önemini vurguluyor.
GlassWorm zararlısı, üç popüler VS Code eklentisinde görünmez Unicode karakterlerle gizlenmiş kötü amaçlı kodla tespit edildi. Zararlı, Open VSX ve Microsoft Marketplace üzerinden kimlik bilgilerini çalarak kripto cüzdanlardan fon çekiyor ve blockchain tabanlı dayanıklı C2 altyapısıyla yayılımını sürdürüyor.
Nx paketlerinin kötü amaçlı sürümleri, CI/CD iş akışındaki bir açık nedeniyle ele geçirilerek kimlik bilgilerini toplayıp GitHub'da herkese açık depolara sızdırdı. İkinci ve üçüncü dalga saldırılarla binlerce depo etkilendi. Olay, AI araçlarının tedarik zinciri saldırılarında kullanıldığı ilk vakalardan biri olarak dikkat çekiyor ve güvenlik önlemlerinin artırılmasının önemini vurguluyor.
Temmuz 2025'te npm'de yayımlanan iki kötü amaçlı paket, Ethereum akıllı sözleşmelerini kullanarak zararlı komutları gizledi ve kripto geliştiricilerini hedef aldı. Bu paketler, GitHub üzerindeki sahte hesap ağı aracılığıyla popülerleştirildi ve saldırganların tespitten kaçmasını sağladı. Uzmanlar, geliştiricilerin paketleri projelerine dahil etmeden önce kapsamlı değerlendirme yapmasının kritik olduğunu vurguluyor.
Fortinet ve Zscaler araştırmacıları, Çinli siber suç gruplarının HiddenGh0st, Winos ve kkRAT zararlı yazılımlarını SEO manipülasyonu ve GitHub sayfaları üzerinden yaydığını tespit etti. Çok aşamalı yükleyiciler, antivirüsleri atlatmak için gelişmiş teknikler kullanıyor ve kripto para cüzdanlarını hedef alan fonksiyonlar barındırıyor. Bu saldırılar, meşru platformların güvenini kötüye kullanarak kullanıcıları sahte sayfalara yönlendiriyor.
GPUGate zararlısı, sahte GitHub commitleri ve Google Reklamları kullanarak Batı Avrupa'daki BT şirketlerini hedef alıyor. GPU destekli şifre çözme teknikleriyle analizden kaçan zararlı, PowerShell tabanlı kalıcılık mekanizmalarıyla savunmaları aşmayı amaçlıyor. Kampanya, Phantom Commit Injection yöntemiyle yazılım tedarik zinciri güvenliğine yeni bir tehdit oluşturuyor.
Mandiant tarafından yürütülen soruşturmada, Mart-Haziran 2025 arasında Salesloft'un GitHub hesabına erişim sağlandığı ve bu durumun Drift uygulamasının AWS ortamına sızmayla sonuçlandığı tespit edildi. Saldırganlar OAuth tokenları kullanarak müşteri verilerine erişti. Salesloft ve Salesforce, güvenlik önlemlerini artırarak bazı entegrasyonları geçici olarak durdurdu.