JavaScript ekosisteminde yaşayan "solucan", Gucci müşterilerinin izlenmesi ve diğer siber güvenlik olayları

##JavaScript ekosistemindeki dayanıklı "solucan", Gucci müşterilerini izleme ve diğer siber güvenlik olayları

Bu hafta siber güvenlik dünyasındaki en önemli haberleri derledik.

• Blockchain geliştiricileri giderek daha fazla hackerların hedefi haline geliyor.
• Kanadalı polis, 40 milyon dolardan fazla kripto para confiscated.
• JavaScript ekosistemine kendini çoğaltan "solucan" saldırıyor.
• Otomotiv sanayisine yönelik saldırı, Birleşik Krallık ekonomisini etkileyebilir.

###Blockchain geliştiricileri giderek daha fazla hackerların hedefi haline geliyor

Yazılım geliştiricileri giderek daha fazla kripto hırsızının hedefi oluyor. Siber güvenlik araştırmacıları Koi Security'ye göre, WhiteCobra adlı bir hacker grubu, VSCode, Cursor ve Windsurf kod geliştirme ortamlarının kullanıcılarını hedef aldı. Visual Studio Marketplace ve Open VSX kayıt defterinde 24 kötü amaçlı uzantı yayınladılar.

«Yıkıcılar»ın bir kurbanı, Ethereum'un ana geliştiricisi Zak Cole oldu.

10 yıldan fazla bir süredir kripto dünyasındayım ve hiç hacklenmedim. Mükemmel OpSec kaydı.

Dün, cüzdanım ilk kez kötü niyetli bir @cursor_ai eklentisi tarafından boşaltıldı.

Eğer bu bana olabiliyorsa, sana da olabilir. İşte tam bir analiz. 🧵👇

— zak.eth (@0xzak) 12 Ağustos 2025

Ona göre, siber suçlular, Cursor adlı AI kod editörü için bir eklenti aracılığıyla kripto para çaldı. Cole, uzantının zararsız bir ürünün tüm belirtilerine sahip olduğunu açıkladı: profesyonelce tasarlanmış bir logo, detaylı bir açıklama ve OpenVSX'te - Cursor'un resmi kayıt defterinde - 54.000 indirme.

Koi Security, WhiteCobra'nın Temmuz ayında Rus blockchain programcısından 500.000 $ değerinde dijital varlık çalan aynı gruba ait olduğuna inanıyor.

«Bu platformlarda uygun kontrollerin olmaması ve çapraz uyumluluk, kötü niyetli kişilerin geniş kapsamlı kampanyalar yürütmeleri için onları ideal hale getiriyor», — Koi Security raporunda belirtiliyor.

Cüzdanın boşaltılması, her VSCode uzantı şablonu ile birlikte gelen standart Hello World şablonuna neredeyse benzer olan ana dosya extension.js'in çalıştırılmasıyla başlar. Daha sonra kötü amaçlı yazılım, işletim sisteminin türüne bağlı olarak bir stil yazılımını açar.

WhiteCobra'dan kötü niyetli kişilerin odak noktasında, $10,000 ile $500,000 arasında dijital varlık sahibi olanlar var. Analistler, grubun yeni bir kampanyayı üç saatten daha kısa sürede başlatabileceğini düşünüyor.

Geliştiriciler için meşru ve sahte uzantının örneği. Kaynak: Koi Security. Şu anda kötü niyetli kişileri durdurmak zor: zararlı eklentiler OpenVSX'ten kaldırılırken, hemen yerine yenileri çıkıyor.

Araştırmacılar, yalnızca iyi bir üne sahip tanınmış projeleri kullanmaya çalışmayı ve kısa bir süre içinde büyük sayıda indirme ve olumlu yorum toplayan yeni sürümlere dikkatli yaklaşmayı öneriyor.

###Kanadalı polis 40 milyon dolardan fazla kripto para ele geçirdi

Kanada Federal Polisi, ülke tarihindeki en büyük kripto para el koyma işlemini gerçekleştirdi. Bunu, onchain dedektif ZachXBT dikkat çekti.

Ticaret platformu TradeOgre'den 56 milyon Kanada doları değerinde dijital varlıklar confiscated edildi (~$40,5 milyon). Kripto para değişim platformunun kapatılması, ülke tarihindeki ilk benzer olay oldu.

Soruşturma, 2024 yılı Haziran ayında Europol'un ihbarı üzerine başladı. Bu, platformun Kanada yasalarını ihlal ettiğini ve para değişimi hizmeti sunan bir işletme olarak Finansal İşlemler ve Raporlama Analiz Merkezi'nde kayıtlı olmadığını gösterdi.

Soruşturmacıların, TradeOgre'de gerçekleştirilen işlemler için kullanılan fonların büyük kısmının suç kaynaklarından geldiğine inanmak için yeterli nedenleri var. Platform, kullanıcı kimliğinin zorunlu olarak tespit edilmemesi nedeniyle saldırganları kendine çekti.

Polis açıklamasına göre, TradeOgre'den alınan işlem verileri suçlamaların sağlanması için analiz edilecek. Soruşturma devam ediyor.

###JavaScript ekosistemine kendiliğinden çoğalan bir "solucan" saldırıyor

NPM platformasına yönelik saldırının ardından, JavaScript paketlerine kötü amaçlı yazılım yerleştirmek için saldırganlar tam anlamıyla bir "solucan" yayma stratejisine geçtiler. Olay hız kazanıyor: yazım aşamasında, 500'den fazla tehlikeye atılmış NPM paketi hakkında bilgi mevcut.

Shai-Hulud'un koordineli kampanyası, haftada 2 milyondan fazla indirilen @ctrl/tinycolor NPM paketinin tehlikeye atılmasıyla 15 Eylül'de başladı.

Truesec analistlerine göre, bu günlerde kampanya önemli ölçüde genişledi ve artık CrowdStrike ad alanında yayınlanan paketleri içeriyor.

Uzmanlara göre, tehlikeye atılan sürümler, paketin tar arşivini çıkaran, package.json dosyasını değiştiren, yerel bir scripti ekleyen, arşivi yeniden derleyen ve tekrar yayınlayan bir işlev içeriyor. Yükleme sırasında otomatik olarak, gizli verileri taramak ve token bulmak için meşru bir araç olan TruffleHog'u indiren ve çalıştıran bir script yürütülüyor.

Truesec'te, saldırının önemli ölçüde ölçeklenebileceği ve daha sofistike hale geleceği düşünülüyor. Kötü niyetli kişiler birçok eski tekniği kullanırken, yaklaşımlarını önemli ölçüde geliştirdiler ve bunu tamamen otonom bir "solucan" haline getirdiler. Kötü amaçlı yazılım aşağıdaki işlemleri gerçekleştirmektedir:

• sırları toplar ve bunları GitHub'da kamuya açık bir şekilde ifşa eder;
• TruffleHog'u çalıştırır ve gizli kimlik bilgilerini çıkarmak için bulut meta veri uç noktalarını sorgular;
• webhook.site üzerinden veri dışa aktarmak için tasarlanmış bir GitHub Actions iş akışını uygulamaya çalışıyor;
• tehlike altındaki kullanıcı için mevcut tüm GitHub depolarını listeler ve bunları zorla herkese açık hale getirir.

Bu saldırının belirgin özelliği tarzıdır. Tek bir enfekte nesneye güvenmek yerine, otomatik olarak tüm NPM paketlerine yayılır.

###Otomotiv saldırısı, Birleşik Krallık ekonomisini etkileyebilir.

Jaguar Land Rover (JLR) üçüncü haftadır siber saldırı nedeniyle üretimi yeniden başlatamıyor. Lüks otomobil üreticisi, montaj hatlarının en az 24 Eylül'e kadar durdurulduğunu bildirdi.

Şirket, siber saldırganların ağından bilgi çaldığını doğruladı, ancak henüz saldırıyı belirli bir hacker grubuna mal etmiyor.

BleepingComputer'a göre, Scattered Lapsus$ Hunters adlı bir siber suçlu grubu siber saldırıya katıldıklarını duyurdu ve Telegram kanalında JLR'nin iç sistemine ait ekran görüntüleri yayınladı. Kaydı, hackerların aynı zamanda şirketin tehlikeye atılmış altyapısında fidye yazılımı dağıttığını iddia ediyor.

BBC'ye göre, her bir haftalık duraksama şirketin en az 50 milyon sterline mal oluyor (~$68 milyon). Diğer yandan, The Telegraph aynı dönem için kayıpları ~$100 milyon olarak değerlendiriyor. JLR tedarikçileri beklenmedik bir krizle başa çıkamayacaklarından endişeli ve iflas korkusu taşıyor.

###"Büyük Çin Ateş Duvarı"nın gizli verileri açık erişime geçti

12 Eylül'de Great Firewall Report ekibinden araştırmacılar, "Büyük Çin Ateşi Duvarı" tarihindeki en büyük veri sızıntısını duyurdular.

Ağa bağlı yaklaşık 600 GB iç belge, kaynak kodu, geliştiricilerin trafik filtreleme sistemini oluşturma ve sürdürme amacıyla kullandığı iç yazışmalar sızdırıldı.

Araştırmacılara göre, sızıntı, trafik izleme platformlarının tam montaj sistemlerini ve belirli engel aşma araçlarının tanınması ve yavaşlatılmasından sorumlu modülleri içeriyor. Yığınların büyük bir kısmı, Çin'de yasaklı olan VPN'leri tespit etmeye odaklanıyor.

Great Firewall Report uzmanları, belgenin bir kısmının Tiangou platformuna — sağlayıcılar ve sınır geçiş geçitleri tarafından kullanılmak üzere tasarlanmış bir ticari ürün — ait olduğunu iddia ediyor. Uzmanlar, programın ilk iterasyonlarının HP ve Dell sunucularında dağıtıldığını düşünüyor.

Ayrıca, açıklanan belgelerde bu yazılımın Myanmar'daki 26 veri merkezine kurulmasına dair bir atıf var. Sistemin devlet telekomünikasyon şirketi tarafından yönetildiği ve ana internet trafiği değişim noktalarına entegre edildiği iddia ediliyor, bu da hem toplu engellemeye hem de seçici filtrelemeye olanak tanıdı.

Wired ve Amnesty International'a göre, altyapı Pakistan, Etiyopya, Kazakistan ve diğer ülkelerle birlikte, yasal trafik dinleme platformlarıyla birlikte kullanılmak üzere ihraç edilmiştir.

###Lüks ürün tüketicileri hackerların hedefinde

15 Eylül'de çok sayıda lüks markanın sahibi olan Kering Grubu, Gucci, Balenciaga, Alexander McQueen ve Yves Saint Laurent'in yan kuruluşlarının müşterilerini etkileyen bir veri sızıntısını doğruladı.

BBC'ye göre, hackerlar kişisel verileri çaldı, bunlar arasında isimler, e-posta adresleri, telefon numaraları, ev adresleri ve dünya genelindeki mağazalarda müşteriler tarafından harcanan toplam para miktarı bulunuyor.

Saldırının arkasında, en az 7 milyon kişinin kişisel verilerini çaldığını iddia eden ShinyHunters adlı bir hacker grubunun olduğu düşünülüyor, ancak mağdur sayısının muhtemelen çok daha fazla olduğu tahmin ediliyor.

Grupla, Salesforce'da yer alan birçok veritabanının çalınmasıyla ilgili olarak da şüpheleniliyor. Allianz Life, Google, Qantas ve Workday gibi birkaç şirket, bu büyük veri ihlalleri sonucunda veri hırsızlığının gerçekleştiğini doğruladı.

Ayrıca ForkLog'da okuyun:

• CZ, KND’den gelen "sahte çalışanlar" tehdidi konusunda uyardı.
• Güncellenmiş dava, Coinbase bitcoin borsa saldırısının detaylarını ortaya çıkardı.
• Ethereum ağı üzerinde 26 milyon $ değerinde DYDX tokenleri "sıkıştı".
• İsrail, teröristlerle ilgili 1,5 milyon USDT'nin dondurulmasını talep etti.
• Monero'da son 12 yılın en büyük blok yeniden organizasyonu gerçekleşti.
• Shibarium Köprüsü ~$2,3 milyonluk bir saldırıya uğradı.

###Hafta sonu ne okuyalım?

ForkLog, Ethereum Foundation'ın bir parçası olan yeni ekip Privacy Stewards'ın önerilerini inceledi ve kuruluş çalışanlarının ağın her seviyesinde, uygulamalara kadar gizliliği nasıl uygulamayı planladığını anlattı.