Günümüz yazılım geliştirme süreçleri açık kaynak bileşenlerinden bağımsız düşünülemiyor. Ancak açık kaynak yazılımlar, kasıtlı olarak gizlenmiş tehditler barındırabiliyor ve bu durum, zararlı paketler içeren ürünlerin manipülasyona açık hale gelmesine, tedarik zinciri saldırıları da dahil olmak üzere ciddi riskler doğurmasına neden olabiliyor. Kaspersky’nin küresel çapta gerçekleştirdiği yeni araştırmaya göre, tedarik zinciri saldırıları son bir yılda işletmelerin karşı karşıya kaldığı en yaygın siber tehdit türü olarak öne çıkıyor.

Kaspersky, son dönemde öne çıkan yüksek profilli tedarik zinciri saldırılarına dikkat çekiyor:

• Nisan 2026’da, donanım performansını izlemek için dünya genelinde donanım meraklıları, BT yöneticileri ve sistem kurucuları tarafından kullanılan ücretsiz araçlar CPU-Z ve HWMonitor’ün resmi web sitesi ele geçirildi. Bu süreçte, meşru yazılım indirmeleri sessizce zararlı yazılım içeren kurulum dosyalarıyla değiştirildi. Kaspersky GReAT analizine göre saldırının aktif olduğu süre yaklaşık 19 saati buldu. Kaspersky telemetrisi, farklı ülkelerde 150’den fazla kullanıcının bu saldırıdan etkilendiğini gösterdi. Etkilenenlerin büyük çoğunluğunu bireysel kullanıcılar oluştururken, bu durum hedef alınan yazılımın tüketici odaklı yapısıyla örtüşüyor. Etkilenen kurumlar arasında perakende, üretim, danışmanlık, telekomünikasyon ve tarım sektörlerinden kuruluşlar yer aldı.
• Mart 2026’da, en yaygın kullanılan JavaScript HTTP istemcilerinden biri olan Axios hedef alındı. Saldırganlar bir geliştirici hesabını ele geçirerek paketin zararlı sürümlerini (1.14.1 ve 0.30.4) yayımladı. Bu sürümlerde Axios’un kendisinde doğrudan zararlı kod bulunmamakla birlikte, arka planda çalışan gizli bir bağımlılık üzerinden çalışan, platformlar arası bir RAT (uzaktan erişim aracı) devreye sokuldu. Bu araç, bir komuta-kontrol (C&C) sunucusuyla iletişim kurduktan sonra macOS, Windows ve Linux sistemlerde izlerini silerek gizlendi. Her iki sürüm de saatler içinde kaldırılırken, ilgili bağımlılık hızla güvenlik gerekçesiyle askıya ve incelemeye alındı. Kaspersky GReAT, saldırının tekil olmadığını; 2025 yılında Security Analyst Summit’te paylaşılan Bluenoroff’un GhostCall ve GhostHire kampanyalarıyla benzer taktik, teknik ve prosedürler içerdiğini doğruladı.
• Şubat 2026’da, yaygın olarak kullanılan açık kaynak metin ve kod editörü Notepad++’ın geliştiricileri, altyapılarının bir barındırma sağlayıcısından kaynaklanan bir olay nedeniyle ihlal edildiğini açıkladı. Kaspersky GReAT araştırmacıları, bu saldırının arkasındaki aktörlerin en az üç farklı enfeksiyon zinciri kullandığını tespit etti. Saldırı kapsamında Filipinler’de bir kamu kurumu, El Salvador’da bir finans kuruluşu, Vietnam’da bir BT hizmet sağlayıcısı ve farklı ülkelerde bireysel kullanıcılar hedef alındı.

Kaspersky GReAT Rusya ve BDT Bölgesi Başkanı Dmitry Galov konuyla ilgili şunları söyledi: “Yaptığımız araştırmaya göre, kurumsal işletmelerin %31’i son 12 ay içinde bir tedarik zinciri saldırısından etkilendi. Bununla birlikte, açık kaynak projelerin güvenlik seviyesi her zaman tescilli yazılım sağlayıcılarının çözümlerinden daha düşük değildir. Bazı durumlarda aktif bir açık kaynak topluluğu, güvenlik açıklarını daha hızlı tespit edip giderebilirken, kapalı sistemler genellikle yalnızca iç ekiplerin denetimlerine dayanır. Açık kaynak topluluğu ortaya çıkan riskleri yakından takip ederken, siber güvenlik uzmanları da açık kaynak yazılımlardaki zafiyetleri ve zararlı kodları tespit ederek kullanıcıları ve topluluğu hızla bilgilendiriyor. Riskleri tamamen ortadan kaldırmak mümkün olmasa da güvenlik çözümleri ve otomatik kod analiz araçları sayesinde bu riskler önemli ölçüde azaltılabilir.”

Kaspersky, kurumların güvenliğini artırmak için şu adımları öneriyor:

• Açık kaynak bileşenleri izlemek ve potansiyel tehditleri tespit etmek için Kaspersky Open Source Software Threats Data Feed gibi çözümlerden yararlanın.
• Sürekli izleme sağlayın. Kurum içi kaynaklara bağlı olarak, gerçek zamanlı altyapı takibi ve yazılım ile ağ trafiğindeki anomalileri tespit etmek için Kaspersky Next ürün ailesinin parçası olan XDR veya MXDR çözümlerini kullanın.
• Gelişen tehditler hakkında güncel kalın. Açık kaynak ekosistemine ilişkin güvenlik bültenlerine ve duyurulara abone olarak tehditlerden erken haberdar olun.
• Bir olay müdahale planı oluşturun. Bu planın tedarik zinciri saldırılarını kapsadığından ve ihlallerin hızlı şekilde tespit edilip sınırlandırılmasına yönelik adımlar içerdiğinden emin olun. Örneğin, gerekirse tedarikçinin şirket sistemleriyle bağlantısını kesmeye yönelik prosedürler belirleyin.
• Tedarikçilerle güvenlik konularında iş birliği yapın. Bu yaklaşım, her iki tarafın da korunma seviyesini artırır ve güvenliği ortak bir öncelik haline getirir.

Kaspersky, yazılım tedarik zincirlerini hedef alan zararlı paketlerde küresel ölçekte %37 artış tespit etti yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) tarafından yayınlanan yeni bir rapora göre, saldırganlar Güney Kore’de yazılım, BT, finans, yarı iletken ve telekomünikasyon sektörlerinde en az altı kuruluşu hedef aldı. Ancak gerçek kurban sayısı daha da yüksek olabilir. Kaspersky araştırmacıları bu kampanyaya “Operation SyncHole” adını verdi.

En az 2009’dan beri aktif olan Lazarus Grubu, geniş kaynaklara sahip ve kötü şöhretli bir tehdit aktörü olarak biliniyor. Yakın tarihli bir kampanyada, grubun idari ve finansal sistemlerde güvenli dosya aktarımları için kullanılan ve üçüncü taraf tarayıcıya entegre bir araç olan Innorix Agent’taki bir günlük güvenlik açığından yararlandığı görüldü. Saldırganlar bu güvenlik açığından yararlanarak yanal hareketi kolaylaştırdı ve hedeflenen ana bilgisayara ek kötü amaçlı yazılım yüklenmesini sağladı. Bu da nihayetinde ThreatNeedle ve LPEClient gibi Lazarus imzalı kötü amaçlı yazılımların dağıtılmasına yol açarak iç ağlardaki konumunu genişletti. Bu açık, Agamemnon indiricisi aracılığıyla sunulan daha büyük bir saldırı zincirinin parçasıydı ve özellikle Innorix’in savunmasız bir sürümünü (9.2.18.496) hedef alıyordu.

Kaspersky’nin GReAT uzmanları, zararlı yazılımın davranışını analiz ederken, herhangi bir tehdit aktörü saldırılarında kullanmadan önce bulmayı başardıkları başka bir rastgele dosya indirme sıfır gün açığı da keşfetti. Kaspersky, Innorix Agent’taki sorunları Kore İnternet ve Güvenlik Ajansı’na (KrCERT) ve satıcıya bildirdi. Yazılım o zamandan beri yamalı sürümlerle güncellenirken, güvenlik açığına KVE-2025-0014 tanımlayıcısı atandı.

Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) Güvenlik Araştırmacısı Sojun Ryu, şunları söyledi: “Siber güvenliğe proaktif bir yaklaşım çok önemlidir. Derinlemesine zararlı yazılım analizimizin daha önce bilinmeyen bir güvenlik açığını herhangi bir aktif istismar belirtisi ortaya çıkmadan önce ortaya çıkarması bu zihniyet sayesinde oldu. Bu tür tehditlerin erken tespiti, sistemlerin daha geniş çapta tehlikeye girmesini önlemenin anahtarıdır.” 

INNORIX ile ilgili bulgulardan önce, Kaspersky uzmanları daha önce Güney Kore’ye yönelik takip eden saldırılarda ThreatNeedle ve SIGNBT arka kapısının bir varyantının kullanıldığını keşfetmişti. Zararlı yazılım, meşru bir SyncHost.exe işleminin belleğinde çalışıyordu ve çeşitli tarayıcı ortamlarında güvenlik araçlarının kullanımını desteklemek için tasarlanmış meşru bir Güney Kore yazılımı olan Cross EX’in bir alt işlemi olarak oluşturulmuştu.

Kampanyanın detaylı analizi, aynı saldırı vektörünün Güney Kore’deki beş kuruluşta daha tutarlı bir şekilde tespit edildiğini doğruladı. Her bir vakadaki bulaşma zincirinin Cross EX’teki potansiyel bir güvenlik açığından kaynaklandığı görüldü ki, bu da tüm operasyondaki bulaşmanın başlangıç noktası olduğunu düşündürüyor. Özellikle KrCERT tarafından yayınlanan yakın tarihli bir güvenlik danışmanlığı, CrossEX’te güvenlik açığının varlığını doğruladı ve bu güvenlik açığı bu araştırmanın yapıldığı zaman diliminde yamalandı.

Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) Direktörü Igor Kuznetsov, şunları ifade etti: “Bu bulgular birlikte daha geniş bir güvenlik endişesini güçlendiriyor. Üçüncü taraf tarayıcı eklentileri ve yardımcı araçlar, özellikle bölgeye özgü veya eski yazılımlara dayanan ortamlarda saldırı yüzeyini önemli ölçüde artırıyor. Bu bileşenler genellikle yüksek ayrıcalıklarla çalışıyor, bellekte kalıyor ve tarayıcı süreçleriyle derinlemesine etkileşime giriyor. Bu da onları saldırganlar için oldukça çekici ve genellikle modern tarayıcıların kendisinden daha kolay hedefler haline getiriyor.” 

SyncHole Operasyonu saldırıları nasıl başlıyor?

Lazarus Grubu, genellikle çok sayıda kullanıcı tarafından ziyaret edilen güvenliği ihlal edilmiş çevrimiçi medya web sitelerini yem olarak kullanıyor. Bu teknik, watering hole saldırıları olarak da biliniyor. Tehdit aktörleri gelen trafiği filtreleyerek ilgilendikleri kişileri tespit ediyor, bu hedefleri seçerek saldırganların kontrolündeki web sitelerine yönlendiriyor ve burada bir dizi teknik eylemle saldırı zincirini başlatıyor. Bu yöntem, grubun operasyonlarının hedefli ve stratejik doğasını vurguluyor.

Saldırıda kullanılan yönlendirilmiş sayfaya bir örnek

Lazarus’un son kampanyası hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin

Kaspersky ürünleri, bu saldırıda kullanılan açıkları ve kötü amaçlı yazılımları aşağıdaki isimlerle tespit edebiliyor: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*

Kaspersky, Lazarus ve diğer Gelişmiş Kalıcı Tehdit (APT) saldırılarına karşı savunmak için doğru tespit, bilinen tehditlere hızlı yanıt ve güvenilir güvenlik araçları kullanımını öneriyor. 

Ek tavsiyeler arasında şunlar yer alıyor:

• Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm cihazlardaki yazılımları her zaman güncel tutun.
• Açıkları ve savunmasız sistemleri ortaya çıkarmak için ağlarınızda ve varlıklarınızda bir siber güvenlik denetimi gerçekleştirin ve çevrede veya ağ içinde keşfedilen zayıflıkları hızla düzeltin.
• Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve yanıt yeteneklerini sağlayan  Kaspersky Next ürün serisindeki çözümleri kullanın
• InfoSec profesyonellerinize kurumunuzu hedef alan siber tehditler hakkında derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence, onlara tüm olay yönetimi döngüsü boyunca zengin ve anlamlı bir bağlam sağlar ve siber riskleri zamanında tespit etmelerine yardımcı olur.

Kaspersky, Güney Kore tedarik zincirlerini hedef alan Lazarus liderliğindeki yeni siber saldırıları ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.