Siber saldırganlar artık yalnızca yanlış yazılmış alan adlarını hedeflemiyor; güvenilir üçüncü taraf script’lerin, paketlerin ve tarayıcı uzantılarının içine gizlenen sahte alan adlarıyla kurumsal ortamlara sızıyor. Son dönemde öne çıkan vakalar, bu tekniğin özellikle e-ticaret, kripto cüzdanları, SaaS platformları ve geliştirici ekosisteminde ciddi veri ve varlık kayıplarına yol açabildiğini gösteriyor.
Bu tablo, klasik typosquatting anlayışını değiştiriyor. Tehdit aktörleri artık kullanıcıyı yanlış URL’ye yönlendirmek yerine, güvenilir görünen bir tedarik zinciri bileşenini değiştirerek saldırıyı tarayıcı çalışma zamanına taşıyor. Böylece firewall, WAF, EDR ve CSP gibi kontrollerin çoğu, zararlı davranış gerçekleşene kadar bunu göremiyor.
Saldırının Genel Çerçevesi
Yeni nesil typosquatting kampanyalarında amaç, sahte alan adını doğrudan kullanıcıya göstermek değil; meşru bir JavaScript kaynağı, npm paketi, CDN bağlantısı ya da tarayıcı eklentisi üzerinden zararlı içeriği sessizce dağıtmak. Bu yöntemle saldırgan, kurbanın tarayıcısında çalışan kodu ele geçiriyor ve veri sızıntısını sunucu tarafı log’larına yakalanmadan gerçekleştiriyor.
Özellikle yapay zekâ destekli araçlar, saldırganların kısa sürede binlerce alan adı varyantı üretmesini kolaylaştırdı. Homograf saldırıları da bu tabloyu ağırlaştırıyor; Latin, Kiril ve Yunan karakterlerinin karışımıyla oluşturulan alan adları, ilk bakışta meşru görünüyor ve basit string-distance kontrollerini aşabiliyor. Alan adı kaydı, SSL sertifikası alma ve kampanyayı devreye sokma süresi artık dakikalarla ölçülüyor.
Tarayıcı İçinde Görünmeyen Saldırı Zinciri
En kritik nokta, saldırının sunucuda değil tarayıcı içinde gerçekleşmesi. Bir web sayfası, ödeme formu ya da giriş ekranı açıldığında üçüncü taraf bir script yükleniyor; bu script daha sonra form alanlarını okuyabiliyor, oturum verilerini yakalayabiliyor veya kullanıcı etkileşimlerini başka bir domaine aktarabiliyor. Kurumsal güvenlik ekipleri için sorun tam da burada başlıyor: ağ geçidi, EDR ya da SIEM, tarayıcı içindeki bu davranışı her zaman görünür kılamıyor.
Bu model, MITRE ATT&CK çerçevesinde Supply Chain Compromise, Browser Session Hijacking ve Data from Information Repositories gibi tekniklerle ilişkilendirilebilir. Ayrıca saldırganın kullandığı alan adı, CDN veya paket deposu yeni kayıtlıysa, klasik itibar kontrolleri de çoğu zaman yetersiz kalıyor.
Öne Çıkan Vakalar Ne Gösteriyor?
Son aylarda görülen birkaç olay, tehdidin ne kadar hızlı ölçeklenebildiğini ortaya koydu. Bir tarayıcı uzantısı üzerinden yürütülen saldırıda, geliştirici kimlik bilgilerinin aylar boyunca toplanmasının ardından resmi dağıtım kanalları kullanılarak trojanize edilmiş bir sürüm yayımlandı. Uzantı, kullanıcıların seed phrase bilgilerini sessizce topladı ve bunları meşru bir analitik uç noktasını taklit eden sahte bir domaine aktardı. Kısa süre içinde binlerce cüzdan boşaltıldı.
Benzer şekilde, popüler JavaScript kütüphanelerini hedef alan bir başka kampanyada saldırganlar, tek bir bakım hesabına yönelik kimlik avı ile çok sayıda güvenilir pakete erişim sağladı. Zararlı kod, tarayıcı API’lerini kancalayarak ağ trafiğini ve cüzdan etkileşimlerini izledi. Bir başka vakada ise geniş kullanılan bir Web3 kütüphanesinin yayın yetkisi ele geçirilerek, işlem sırasında özel anahtarları sızdıran gizli bir fonksiyon içeren sürümler dağıtıldı.
Bu örneklerin ortak noktası şu: saldırı, kullanıcıyı kandırmaktan çok, güven zincirinin bir halkasını ele geçirmeye dayanıyor. Yani problem artık yalnızca “yanlış yazılmış alan adı” değil; yazılım tedarik zinciri, paket deposu güvenliği, tarayıcı çalışma zamanı ve üçüncü taraf script yönetimi.
Kurumsal Ortamlarda Risk Nerede Büyüyor?
En yüksek risk, ödeme sayfaları, kimlik doğrulama ekranları, müşteri destek widget’ları, pazarlama pikselleri ve A/B test araçlarının yoğun kullanıldığı web uygulamalarında görülüyor. Bir e-ticaret sitesinde ortalama onlarca üçüncü taraf script çalışabiliyor. Bu script’lerden biri güncellendiğinde, saldırgan form alanlarını okuyabilir, ödeme verilerini dışarı aktarabilir ya da oturum çerezlerini hedefleyebilir.
Benzer risk, SaaS sağlayıcılarında da var. Özellikle müşteri paneli, yönetim konsolu ve self-service portallarda kullanılan dış kaynaklı JavaScript bileşenleri, IAM akışlarını ve oturum yönetimini etkileyebilir. Bu nedenle bulut güvenliği, ağ segmentasyonu ve e-posta güvenliği kadar tarayıcı içi davranışların da izlenmesi gerekiyor.
Teknik Özet: Saldırı Nasıl İlerliyor?
Bu tip kampanyalar genellikle aşağıdaki sırayla ilerliyor:
1) Kimlik avı veya ele geçirilmiş bakım hesabı üzerinden geliştirici erişimi elde ediliyor.
2) npm, Chrome Web Store, CDN ya da benzeri dağıtım kanallarına zararlı sürüm yükleniyor.
3) Script veya uzantı, tarayıcı içinde çalışarak form verilerini, seed phrase’leri, oturum bilgilerini ya da ödeme alanlarını topluyor.
4) Veri, yeni kayıtlı veya taklit edilmiş bir domaine gönderiliyor.
5) Sunucu tarafında olağan dışı bir hareket görünmediği için olay geç fark ediliyor.
Bu zincir, klasik zararlı yazılım dağıtımından farklı olarak doğrudan runtime davranışına dayanıyor. Statik analiz, lint kontrolleri ve imza tabanlı taramalar çoğu zaman yeterli olmuyor; çünkü zararlı kod, yalnızca belirli koşullarda aktifleşiyor veya yükleme sonrası dinamik olarak ekleniyor.
SOC ve Sistem Yöneticileri İçin Pratik Kontrol Listesi
• Üçüncü taraf script envanterini çıkarın ve özellikle yeni kayıtlı CDN alan adlarını işaretleyin.
• CSP raporlarını yalnızca ihlal açısından değil, izin verilen origin’lerin gerçek davranışı açısından da inceleyin.
• Ödeme, giriş ve PII içeren sayfalarda runtime behavioral monitoring uygulayın.
• Tarayıcıda çalışan script’lerin hangi DOM öğelerine eriştiğini ve hangi domain’lere veri gönderdiğini loglayın.
• SRI kontrollerini, mümkün olan yerlerde self-hosted veya cache’lenen kaynaklar için zorunlu hale getirin.
• SIEM kurallarına, kısa sürede yeni kayıtlı domain’lere giden istekleri ve beklenmeyen POST trafiğini ekleyin.
• EDR tarafında tarayıcı uzantıları, script injection ve şüpheli process chain davranışlarını izleyin.
• IAM tarafında geliştirici token’ları, yayın anahtarları ve CI/CD sırlarını düzenli olarak döndürün.
Kurumsal Savunmada Neden Boşluk Oluşuyor?
Birçok ekip CSP’yi yeterli bir savunma katmanı olarak görüyor. Ancak CSP, bir script’in yüklenmesine izin verip vermediğini kontrol eder; script’in çalıştıktan sonra ne yaptığını izlemez. Güvenilir görünen bir kaynak, ödeme formundaki verileri okuyup dışarı aktarabiliyorsa, CSP bunu tek başına engelleyemez. Aynı durum firewall ve WAF için de geçerli; bu kontroller çoğunlukla ağ trafiğini görür, tarayıcı içindeki davranışı değil.
Bu nedenle savunmanın odağı, “hangi domain’e izin verildi?” sorusundan “bu script gerçekte ne yapıyor?” sorusuna kaymalı. Runtime davranış analizi, anomali tespiti ve tarayıcı oturumu içindeki veri akışının izlenmesi, modern tedarik zinciri saldırılarına karşı daha anlamlı bir koruma sağlıyor.
Kuruluşlar İçin Öncelik Sırası
İlk aşamada ödeme sayfaları ve kimlik doğrulama akışları korunmalı. Ardından müşteri panelleri, destek araçları, pazarlama bileşenleri ve analitik etiketleri gözden geçirilmeli. Son aşamada ise tüm üçüncü taraf bağımlılıklar için davranış tabanlı izleme, domain yönlendirme kuralları, DMARC politikaları ve yayın anahtarı koruması devreye alınmalı.
Özellikle finans, perakende, SaaS ve kripto hizmetleri sunan kurumlar için bu konu doğrudan iş sürekliliği ve veri güvenliği meselesi. Bir tarayıcı uzantısı, bir npm paketi ya da bir CDN script’i üzerinden gelen saldırı; olay müdahale ekiplerini, hukuk birimlerini ve müşteri iletişimini aynı anda devreye sokabilir.
Sonuç olarak typosquatting artık yalnızca son kullanıcıların yanlış yazdığı adreslerle sınırlı bir problem değil. Saldırganlar, güven zincirinin içine yerleşerek tarayıcı çalışma zamanını hedefliyor. Bu da kurumların e-posta güvenliği, bulut güvenliği, ağ segmentasyonu ve olay müdahale süreçlerini tarayıcı içi davranış görünürlüğüyle tamamlamasını zorunlu kılıyor.