Bir grup tehdit aktörü, AWS, Google Cloud ve Azure bulut sunucularını ele geçirerek gizli bir SMTP e-posta yönlendirme ağı kurdu. Operasyon, dünya genelinde 230’dan fazla sunucuyu etkiledi ve e-posta iletimi için proxy olarak kullanıldı. Bu durum, bulut güvenliği ve e-posta altyapılarının korunmasının önemini bir kez daha ortaya koyuyor.
TrapDoor adlı siber saldırı kampanyası, npm, PyPI ve Crates.io paket yöneticileri üzerinden geliştiricilere yönelik kimlik bilgisi ve gizli veri hırsızlığı amaçlı zararlı yazılımlar yayıyor. Kampanya, kripto para ve yapay zeka topluluklarını hedef alırken, yapay zeka destekli kodlama araçlarını da dolaylı olarak etkileyerek saldırı yüzeyini genişletiyor. Bu durum, yazılım geliştirme ortamlarında çok katmanlı güvenlik önlemlerinin önemini bir kez daha vurguluyor.
npm ekosisteminde ele geçirilmiş bakımcı hesapları üzerinden yayılan yeni bir tedarik zinciri saldırısı, yüzlerce paketi zararlı sürümlerle güncelledi. Kampanya, kimlik bilgisi çalma, CI/CD istismarı ve sahte imzalama teknikleriyle kurumsal geliştirme ortamlarını doğrudan risk altına alıyor. Özellikle otomatik bağımlılık güncellemesi yapan ekiplerin token rotasyonu, paket bütünlüğü ve build provenance kontrollerini hızla gözden geçirmesi gerekiyor.
GitHub, bir çalışan cihazının kötü amaçlı bir VS Code eklentisi üzerinden ele geçirilmesi sonucu yaklaşık 3.800 iç deponun dışarı aktarıldığını açıkladı. Aynı dönemde açık kaynak paket ekosisteminde de yeni bir tedarik zinciri kampanyası tespit edildi; bu durum geliştirici cihazları, CI/CD hatları ve bulut kimlik bilgilerinin ne kadar kritik olduğunu yeniden ortaya koyuyor.
Trojanize edilmiş bir Nx Console VS Code eklentisi, geliştirici cihazları üzerinden kurumsal GitHub depolarına uzanan bir tedarik zinciri saldırısında kullanıldı. Kısa süreli yayın penceresine rağmen saldırganlar kimlik bilgileri, bulut erişimleri ve iç depo verileri üzerinde ciddi risk oluşturdu; olay, geliştirici araçlarının güvenliğinin neden kritik olduğunu bir kez daha gösteriyor.
Nx Console 18.95.0 sürümü üzerinden yürütülen saldırı, VS Code geliştiricilerinin kimlik bilgilerini hedef alan bir tedarik zinciri vakasına dönüştü. Olay, GitHub deposuna gizlenmiş zararlı bir commit, obfuscate edilmiş payload ve çok aşamalı veri sızdırma teknikleriyle ilerlediği için kurumsal geliştirme ortamları açısından ciddi risk oluşturuyor.
Son analizlere göre, CVE-2025-55182 güvenlik açığını kullanan saldırganlar, dünya genelinde 766 Next.js sunucusuna sızarak kritik kimlik bilgilerini ele geçirdi. Bu ihlal, web uygulama güvenliği ve kimlik yönetimi alanlarında önemli riskler oluşturuyor. Siber güvenlik uzmanları, ilgili yamaların uygulanması ve kapsamlı olay müdahale süreçlerinin devreye alınmasını öneriyor.
Modern SOC'lar, kimlik avı saldırılarının hızına yetişmekte zorlanıyor. Şifreli trafik, çok aşamalı yönlendirmeler ve kullanıcı etkileşimi gerektiren saldırılar, manuel incelemeyi yetersiz kılıyor. Bu nedenle, güvenli etkileşim, otomasyon ve SSL şifre çözme tekniklerinin entegre edilmesiyle kimlik avı tespiti ölçeklendirilmeli.
Geçen yıl gerçekleşen nx npm paketine yönelik tedarik zinciri saldırısında, UNC6426 adlı tehdit aktörü GitHub tokenlarını ele geçirerek AWS ortamında tam yönetici erişimi sağladı. Bu olay, bulut güvenliği ve CI/CD süreçlerinde kritik zafiyetlerin nasıl istismar edilebileceğini gösteriyor.
Son dönemde Asya'daki havacılık, enerji, hükümet ve telekomünikasyon sektörlerini hedef alan karmaşık bir siber casusluk kampanyası tespit edildi. CL-UNK-1068 adlı tehdit aktörü, web sunucusu açıklarından faydalanarak Mimikatz gibi araçlarla kimlik bilgisi hırsızlığı yapıyor. Bu saldırılar, hem Windows hem Linux ortamlarında çok yönlü araç setleri ve ileri tekniklerle yürütülüyor.