Kaspersky’nin tedarik zinciri ve güven ilişkisi risklerine odaklanan son araştırmasına* göre, tedarik zinciri saldırıları şirketler için en kritik tehditlerden biri haline gelmiş durumda. Son bir yıl içinde her üç kurumdan biri bu tür bir saldırıya maruz kaldığını belirtiyor. Söz konusu saldırıların artan sıklığı ve etkisi, şirketlerin bu riskleri etkin şekilde yönetmesini zorlaştıran temel nedenlerin anlaşılmasını zorunlu kılıyor. 

Anket sonuçlarına göre, tedarik zinciri ve güven ilişkisinden kaynaklanan risklerin azaltılmasının önündeki en büyük engellerden biri uzman iş gücü eksikliği. Bu yetersizlik, organizasyonların kendi ekosistemlerindeki potansiyel üçüncü taraf zafiyetlerini düzenli olarak tespit etme ve izleme kapasitesini kısıtlıyor. Katılımcıların belirttiği bir diğer kritik engel ise birden fazla siber güvenlik önceliği arasında denge kurma zorunluluğu. Bu durum, güvenlik ekiplerinin aynı anda çok fazla görevle ilgilenmek zorunda kaldığını ve bunun sonucunda tedarik zinciri tehditlerinin gözden kaçabildiğini gösteriyor.

Kaynak kısıtlılığının ötesinde, katılımcılar yapısal sorunlara da dikkat çekiyor: Türkiye’deki işletmelerin %46’sı, yüklenicilerle yapılan sözleşmelerde net BT güvenliği yükümlülüklerinin bulunmadığını belirtiyor. Ayrıca katılımcıların %35’i, BT dışı güvenlik personelinin bu riskleri tam olarak kavramadığını dile getiriyor.

Araştırmaya göre Türkiye’deki işletmelerin %93 gibi ezici bir çoğunluğu, tedarik zinciri ve güven ilişkisi risklerine karşı koruma önlemlerini yükseltmeleri gerektiğini kabul ederken; mevcut güvenlik önlemlerini yeterli bulanların oranı yalnızca %7’de kalıyor.

Aynı zamanda araştırma sonuçları, üçüncü taraf risklerine yönelik mevcut risk yönetimi uygulamaları parçalı kaldığını ve hiçbir koruma yönteminin kullanıcılar arasında %42’den fazla bir benimsenme oranına ulaşamadığını gösteriyor. En yaygın koruyucu önlem olan iki faktörlü kimlik doğrulama (2FA) bile Türkiye de’ki katılımcıların yalnızca %26’sı tarafından kullanılıyor. Ayrıca, kuruluşların sadece %42’si yüklenicilerin siber güvenlik duruşlarını düzenli olarak gözden geçiriyor. Sonuç olarak, işletmelerin yaklaşık üçte ikisi iş ortaklarının güvenliği konusunda sürekli görünürlük sağlayamıyor; bu da onları ekosistemlerindeki gelişen zafiyetlere karşı savunmasız bırakıyor.

Küresel ölçekte dikkat çekici bulgular ise, halihazırda tedarik zinciri ve güven ilişkisine dayalı saldırılara maruz kalmış şirketlerin daha güçlü güvenlik alışkanlıkları edinme eğiliminde olmasıdır. Tedarik zinciri olaylarından etkilenen şirketlerin sızma testi sonuçlarını talep etme olasılığı daha yüksekken (%56); güven ilişkisi ihlali mağdurları endüstri standartlarına uyumluluk kontrollerine (%56) ve yüklenicilerin kendi tedarik zinciri politikalarına (%53) öncelik veriyor.

Kaspersky Güvenlik Operasyonları Merkezi (SOC) Başkanı Sergey Soldatov konuyla ilgili şu değerlendirmede bulunuyor: “Güvenlik ekipleri kapasitelerinin üzerinde çalıştığında, personel eksikliği yaşandığında ve uzun vadeli dayanıklılık stratejileri yerine acil görevlere öncelik vermek zorunda kaldığında; organizasyonlar, tedarikçi ekosistemi içinde sessizce ilerleyebilen tehditlere karşı korumasız kalıyor. Bu döngüyü kırmak için endüstrinin; standartlaştırılmış yüklenici değerlendirmelerinden ekipler arası farkındalığın artırılmasına kadar daha bütünleşik ve tutarlı hafifletme stratejilerini benimsemesi gerekiyor. Tedarik zinciri güvenliği, tüm iş ağı genelinde paylaşılan ve hesap verebilir bir sorumluluk haline gelmelidir.”

Şirketlerin tedarik zinciri risklerini azaltabilmesi ve iş sürekliliğini güvence altına alabilmesi, ancak organizasyon genelinde önleyici tedbirlerin uygulanması ve tedarikçi–yüklenici ilişkilerinin stratejik bir bakış açısıyla ele alınmasıyla mümkün.

Kaspersky, bu riskleri azaltmak için şu adımları öneriyor:

• Yönetilen güvenlik hizmetlerinden yararlanın: Siber güvenlik kaynakları sınırlı olan kurumlar için dış kaynak kullanımı kritik önem taşır. Kaspersky Managed Detection and Response (MDR) ve  Incident Response gibi çözümler, tehdit tespitinden müdahaleye ve sürekli korumaya kadar tüm olay yönetimi sürecini kapsar. 
• Siber güvenlik eğitimlerine yatırım yapın: Çalışanların bilgi seviyesini artırmak için uygulamaya dönük, kendi kendine ilerlemeli veya Kaspersky Siber Güvenlik Eğitimleri tercih edilmelidir. Bu sayede güvenlik ekiplerinin teknik yetkinlikleri gelişir ve şirketler daha karmaşık saldırılara karşı korunur. 
• Tedarikçileri anlaşma öncesinde kapsamlı şekilde değerlendirin: Siber güvenlik politikaları, geçmiş olay kayıtları ve sektör standartlarına uyum gibi kriterler mutlaka incelenmelidir. Yazılım ve bulut hizmetleri için ayrıca zafiyet verileri ve penetrasyon test sonuçları değerlendirilmelidir. 
• Sözleşmelere güvenlik gerekliliklerini dahil edin: Tedarikçi sözleşmeleri; düzenli güvenlik denetimleri, kurum politikalarına uyum ve olay bildirim süreçleri gibi açık bilgi güvenliği yükümlülüklerini içermelidir. 
• Tedarikçilerle güvenlik konusunda iş birliği yapın: Koruma seviyesini her iki taraf için de güçlendirmek ve güvenliği ortak bir öncelik haline getirmek kritik önem taşır.

Siber Güvenlik Uzmanı Eksikliği, Tedarik Zinciri Risklerini Önlemedeki En Büyük Engellerden Biri yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Dünya Ekonomik Forumu’nun güncel verilerine göre, büyük ölçekli kuruluşların yaklaşık üçte ikisi (%65), üçüncü taraf ve tedarik zinciri kaynaklı güvenlik açıklarını günümüzün birbirine bağlı dijital ekosisteminde siber dayanıklılığın önündeki en büyük engeller arasında gösteriyor. Kaspersky tarafından yaptırılan küresel araştırma [1] da Orta Doğu ve Türkiye de dahil bu risklerin nasıl evrildiğini ve dünya genelindeki işletmelerin bu tehditlere ne ölçüde maruz kaldığını inceledi.

Araştırma sonuçlarına göre, kurumsal şirketlerin %31’i son 12 ay içinde bir tedarik zinciri saldırısından etkilendiğini belirtirken, Türkiye’de ise bu oran %28 seviyesinde gerçekleşti. Bu veriler, diğer tüm siber tehdit türlerine kıyasla en yüksek seviyeyi temsil ediyor. Tedarik zinciri tehditleri özellikle yüksek düzeyde bağlantılı organizasyonları hedef alıyor. Büyük ölçekli işletmeler[2]  (2.500 ve üzeri çalışan) %36 ile en yüksek saldırı oranını bildirirken, düşük ve orta ölçekli şirketlerde bu oran daha düşük seviyede kaldı.

Dikkat çekici bir diğer nokta ise, en büyük ölçekli işletmelerin ortalama tedarikçi sayısının da en yüksek olması. Bu şirketler ortalama 100’e yakın yazılım ve donanım tedarikçisiyle çalışıyor ve bu durum doğal olarak geniş bir potansiyel saldırı yüzeyi oluşturuyor. Buna ek olarak, kuruluşlar sistemlerine çok sayıda yükleniciye erişim izni verdiğini kabul ediyor. Düşük ölçekli işletmeler ortalama 50 yükleniciyle çalışırken, büyük ölçekli işletmelerde bu sayı 130’un üzerine çıkıyor. Bu durum, dijital bağımlılıkların artmasıyla birlikte “güven ilişkisi saldırıları” olarak adlandırılan riskleri de beraberinde getiriyor. Bu tür saldırılarda tehdit aktörleri, kuruluşlar arasındaki meşru ve güvene dayalı bağlantıları istismar ediyor.

Son bir yıl içinde güven ilişkisi saldırıları dünya genelinde şirketlerin dörtte birini (%25) etkiledi. Mevcut iş bağlantılarının kötüye kullanıldığı saldırılar en sık Türkiye (%35), Singapur (%33) ve Meksika (%31) merkezli kuruluşlarda görüldü. Orta Doğu’da ise kuruluşların %22’si bu tür saldırılara maruz kaldı.

Kaspersky Güvenlik Operasyonları Merkezi (SOC) Başkanı Sergey Soldatov konuyla ilgili şunları söyledi: “Her bağlantının, her tedarikçinin ve her entegrasyonun güvenlik profilimizin bir parçası haline geldiği bir dijital ekosistemde faaliyet gösteriyoruz. Kuruluşlar daha fazla birbirine bağlandıkça maruz kaldıkları tehdit yüzeyi de genişliyor. Bu tabloda modern işletmelerin korunması, yalnızca tekil sistemleri değil, iş sürekliliğini mümkün kılan tüm ilişki ağını güçlendiren bütüncül bir yaklaşım gerektiriyor.”

Şirketlerin tedarik zinciri risklerini azaltabilmesi ve iş sürekliliğini güvence altına alabilmesi için, organizasyon genelinde önleyici tedbirler uygulaması ve tedarikçi ile yüklenici ilişkilerini stratejik bir çerçevede ele alması gerekiyor.

Kaspersky, bu risklerin azaltılması için şu adımları öneriyor:

• Tedarikçileri sözleşme öncesinde kapsamlı şekilde değerlendirin. Siber güvenlik politikalarını, geçmiş güvenlik olaylarını ve sektör güvenlik standartlarına uyumlarını inceleyin. Yazılım ve bulut hizmetleri için ayrıca zafiyet verileri ve sızma testi sonuçlarını gözden geçirin.
• Sözleşmelere güvenlik gereklilikleri ekleyin. Düzenli güvenlik denetimleri gerçekleştirin ve kuruluşunuzun güvenlik politikaları ile olay bildirim protokollerine uyumu garanti altına alın.
• Önleyici teknolojik tedbirler uygulayın. En az ayrıcalık ilkesi (principle of least privilege), sıfır güven (zero trust) yaklaşımı ve olgun kimlik ve erişim yönetimi uygulamaları gibi güvenlik pratiklerini hayata geçirerek, bir tedarikçinin kompromize olması durumunda oluşabilecek etkiyi minimize edin.
• Sürekli izleme sağlayın. Kurum içinde bu izlemeyi gerçekleştirebilecek insan kaynağının durumuna bağlı olarak, Kaspersky Next XDR veya MXDRgibi çözümlerle altyapıyı gerçek zamanlı izleyin ve yazılım ile ağ trafiğindeki anormallikleri tespit edin.
• Bir olay müdahale planı geliştirin. Planın tedarik zinciri saldırılarını kapsadığından ve ihlallerin hızlı şekilde tespit edilip sınırlandırılmasına yönelik adımlar içerdiğinden emin olun. Örneğin, gerekirse ilgili tedarikçinin şirket sistemleriyle bağlantısını kesmeye yönelik prosedürler belirleyin.
• Tedarikçilerle güvenlik alanında iş birliği yapın. Koruma seviyesini her iki taraf için de güçlendirin ve siber güvenliği ortak bir öncelik haline getirin.

İşletmelerin tedarik zinciri saldırılarına maruziyetine ilişkin daha fazla bulgu ve önerilere bağlantı üzerinden erişilebilir.

Tedarik zinciri saldırılarına dair diğer bulgulara ve daha fazla öneriye bağlantı üzerinden ulaşabilirsiniz.

[1] Kaspersky bünyesindeki pazar araştırma merkezi tarafından; 500’den fazla çalışanı olan işletmelerde C-level yöneticiler, başkan yardımcıları, ekip liderleri ve kıdemli uzmanlardan oluşan 1.714 teknik uzmanın katılımıyla gerçekleştirilmiştir. Araştırma; aralarında Almanya, İspanya, İtalya, Brezilya, Meksika, Kolombiya, Singapur, Vietnam, Çin, Hindistan, Endonezya, Suudi Arabistan, Türkiye, Mısır, Birleşik Arap Emirlikleri ve Rusya’nın bulunduğu 16 ülkeyi kapsamaktadır.

[2] Küçük ölçekli işletme: 500-1.499 çalışan. Orta ölçekli işletme: 1.500-2.499 çalışan. Büyük ölçekli işletme: 2.500 veya daha fazla çalışan.

Tedarik Zinciri Saldırıları Şirketlerin Son 12 Ayda Karşılaştığı Tehditlerin Başında Yer Alıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

15 Eylül 2025’te ilk kez ortaya çıkan, kendi kendini kopyalayan kötü amaçlı bir yazılım olan Shai-Hulud solucanı, kimlik doğrulama jetonlarını çalarak ve meşru paketlerin virüslü sürümlerini yayınlayarak geliştirici hesapları aracılığıyla otomatik olarak yayılıyor. Saldırının etkisi geniş çapta belgelenmiş olsa da, Kaspersky’nin analizi, ilk enfeksiyon mekanizması ve solucanın sofistike yayılma yöntemleri hakkında teknik ayrıntıları ortaya koydu.      

Kaspersky Tehdit Araştırması Kötü Amaçlı Yazılım Analisti Vladimir Gurskiy, konuya ilişkin şunları söyledi: “Analizimiz, bu tedarik zinciri saldırısının nasıl işlediğine ve depo maruziyetinin gerçek kapsamına ilişkin önemli bilgiler sağlıyor. Solucanın özel depoları kuruluşlardan bireysel hesaplara sistematik olarak taşıma eylemi, tedarik zinciri tehditlerinde önemli bir artışa işaret ediyor ve yıllarca süren özel geliştirme çalışmalarını tehlikeye atma potansiyeli taşıyor. Bu araştırma, Kaspersky Açık Kaynak Yazılım Tehditleri Veri Akışını neden sürdürdüğümüzü bir kez daha ortaya koyuyor. Çünkü kuruluşlar, geliştirme süreçlerini bu tür sofistike saldırılardan korumak için, güvenliği ihlal edilmiş paketler hakkında gerçek zamanlı istihbarata ihtiyaç duyuyor.”

Kaspersky’nin araştırması, ngx-bootstrap sürüm 18.1.4’ün başlangıç noktası olarak hizmet ettiğini doğruladı ve bu sonucun elde edilmesinde kullanılan teknik metodolojiyi açıkladı. Araştırmacılar, bu sırada önemli bir ayırt edici özellik tespit etti: Bu sürümden sonraki tüm enfekte paketler kurulum sonrası komut dosyaları aracılığıyla kötü amaçlı kodları çalıştırırken, başlangıç noktası paketi benzersiz bir şekilde kurulum öncesi komutunu kullandı. Bu da onun otomatik yayılmanın kurbanı değil, başlangıç noktası olduğunu ortaya çıkardı.            

Bu solucan, GitHub’daki özel kurumsal depoları tehlikeye atmak için özel olarak tasarlanmış işlevler içeriyor. Kimlik doğrulama jetonlarını çalmanın ötesinde, özel ve dahili depoları da GitHub kuruluşlarından kullanıcı hesaplarına otomatik olarak taşıyor. Böylece gizli kurumsal kodları etkili bir şekilde kamuya açık hale getiriyor ve tüm özel kod tabanlarını ifşa ediyor.           

Kaspersky çözümleri, bu kötü amaçlı yazılımı HEUR:Worm.Script.Shulud.gen olarak tanımlıyor. Kuruluşlar, GitHub depolarında “shai-hulud” dallarını veya shai-hulud-workflow.yml dosyalarının varlığını arayarak enfeksiyon olup olmadığını kontrol edebilirler.

Daha fazla bilgi için Securelist adresini ziyaret edin.

Kaspersky, daha önce açık kaynak ekosistemlerini hedef alan tedarik zinciri saldırılarının artan eğilimi konusunda uyarıda bulunmuştu. Şirketin güvenlik araştırmacıları, kötü amaçlı modül oluşturmanın tehdit aktörleri arasında giderek daha popüler hale gelen bir saldırı vektörü olduğunu belirledi.

• Bağımlılıklarınızı proaktif olarak izleyin. Kaspersky Açık Kaynak Yazılım Tehditleri Veri Akışı bunu gerçekleştirmenize yardımcı olur. Bu veri akışı, açık kaynak platformlarını hedef alan kötü amaçlı faaliyetler hakkında gerçek zamanlı istihbarat sağlayarak kuruluşların tedarik zinciri saldırılarına karşı proaktif olarak savunma yapmasına yardımcı olmak için tasarlanmıştır.
• Kaspersky Premium gibi güçlü siber güvenlik çözümleriyle kişisel cihazlarınızı koruyun. Bu çözüm, cihazlarınızda depolanan kimlik doğrulama jetonlarını ve kimlik bilgilerini hedef alan tedarik zinciri kötü amaçlı yazılım bulaşmalarını önlemek ve etkisiz hale getirmek için çok katmanlı koruma sağlar.
• Güvenli Linux geliştirme ortamları kurgulayın. Kaspersky for Linux, npm paketlerinin yüklendiği ve çalıştırıldığı derleme sunucularını ve CI/CD ardışık düzenlerini koruyarak, kendi kendine yayılan solucanların tüm geliştirme altyapınızı tehlikeye atmasını önler.
• Kaspersky Next ürün serisi gibi kurumsal bir siber güvenlik çözümü kullanarak, her büyüklükteki ve sektördeki kuruluşlarda çeşitli siber güvenlik tehditlerine karşı savunma sağlayın ve gelişmiş tehdit görünürlüğü ve araştırma yeteneklerinin yanı sıra kapsamlı gerçek zamanlı koruma sunun.

Kaspersky, npm Shai-Hulud solucan tedarik zinciri saldırısı hakkında ayrıntıları paylaştı yazısı ilk önce En Gazete üzerinde ortaya çıktı.