Cybersecurity & Privacy

Microsoft’tan Kritik Uyarı: Mastra AI Saldırısı Kuzey Koreli Hackerlara Bağlandı

By Mag-Info Tech editorial · 2026-06-21

Mastra AI Saldırısının Arka Planı: Açık Kaynaklı Yazılımda Yeni Tehdit

Microsoft’un geçtiğimiz günlerde yaptığı açıklamayla ortaya çıkan Mastra AI saldırısı, açık kaynaklı yazılım ekosisteminde ciddi bir güvenlik açığını gözler önüne serdi. Saldırıda, npm (Node Package Manager) paket yönetim sisteminde yer alan 140’dan fazla paketin tehlikeye atıldığı belirlendi. Saldırganlar, öncelikle “ehindero” adlı bir npm bakım hesabını ele geçirerek, bu hesabın yetkilerini kötüye kullandı. Ardından, Mastra paket ortamında yer alan çeşitli paketlere sahte güncellemeler yayınladı. Bu güncellemeler, aslında meşhur “dayjs” JavaScript kütüphanesinin adını taklit eden “easy-day-js” adlı kötü amaçlı bir bağımlılığı içeriyordu. Bu durum, geliştiricilerin bilgisayarlarına zararlı yazılım bulaşmasına yol açtı.

Saldırının ilk aşamasında, saldırganlar tarafından ele geçirilen npm hesabı kullanılarak yayınlanan sahte güncellemeler, geliştiricilerin projelerine dahil ettiği paketlerin içerisine gizlenmişti. Bu paketler, geliştiricilerin sistemlerine yüklendiğinde otomatik olarak çalışan “post-install” komutlarıyla birlikte geliyordu. Bu komutlar, sistemlere kötü amaçlı yazılımların yerleştirilmesini sağlıyordu. Saldırının temel amacı, geliştiricilerin cihazlarından hassas bilgileri çalmak ve kripto para cüzdanlarına erişmekti. Bu saldırı, tedarik zinciri saldırılarının ne kadar yıkıcı olabileceğini ve açık kaynaklı yazılım ekosisteminin ne kadar savunmasız olduğunu bir kez daha gösterdi.

Kuzey Koreli Hacker Grubu Sapphire Sleet’in Rolü

Microsoft’un yaptığı araştırmalar, saldırının ardındaki aktörün Kuzey Kore devletine bağlı olduğunu ortaya koydu. Sapphire Sleet olarak da bilinen BlueNoroff adlı hacker grubunun, bu saldırının arkasında olduğu belirlendi. Microsoft, grubun özellikle finans sektörüne odaklanan bir tehdit aktörü olduğunu ve bu saldırıda da benzer taktikleri kullandığını açıkladı. Grubun geçmişteki faaliyetlerine bakıldığında, özellikle bankacılık ve kripto para sistemlerine yönelik saldırılar gerçekleştirdiği görülüyor. Bu saldırı da, grubun finansal kazanç elde etmeye yönelik stratejisinin bir parçası olarak değerlendiriliyor.

Sapphire Sleet’in saldırı metodolojisi incelendiğinde, oldukça karmaşık ve çok aşamalı bir yaklaşım benimsediği görülüyor. Saldırganlar, öncelikle hedef aldıkları npm hesabını ele geçirerek, meşru paketlerin yerine sahte olanlarını yayınlıyor. Bu sahte paketler, geliştiricilerin sistemlerine yüklendiğinde, arka planda çalışan kötü amaçlı komutlarla birlikte geliyor. Bu komutlar, sistemdeki güvenlik kontrollerini devre dışı bırakarak, saldırganların komuta-kontrol sunucularıyla iletişim kurmasını sağlıyor. Ardından, ikinci aşama olarak adlandırılan bir zararlı yazılım indiriliyor ve bu yazılım, sistemdeki hassas verileri topluyor. Bu veriler arasında, tarayıcı geçmişleri, yüklü uygulamalar, çalışan işlemler ve özellikle kripto para cüzdanları yer alıyor.

Saldırının Teknik Detayları: Nasıl Gerçekleşti?

Saldırının teknik detaylarına bakıldığında, saldırganların oldukça sofistike yöntemler kullandığı görülüyor. İlk olarak, saldırganlar tarafından ele geçirilen “ehindero” adlı npm hesabı, Mastra paket ortamında yayınlanan paketlere erişim sağlıyordu. Bu paketlere yapılan sahte güncellemeler, aslında meşhur “dayjs” kütüphanesinin adını taklit eden “easy-day-js” adlı bir bağımlılığı içeriyordu. Bu bağımlılık, geliştiricilerin sistemlerine yüklendiğinde, otomatik olarak çalışan bir “post-install” komutunu tetikliyordu. Bu komut, sistemdeki TLS sertifika doğrulamasını devre dışı bırakarak, saldırganların komuta-kontrol sunucularıyla güvenli bir şekilde iletişim kurmasını sağlıyordu.

Ardından, saldırganlar tarafından kontrol edilen sunuculardan ikinci aşama bir zararlı yazılım indiriliyordu. Bu yazılım, çapraz platform bir bilgi hırsızıydı ve Windows, Linux ve macOS sistemlerinde çalışabiliyordu. Zararlı yazılım, sistem hakkında çeşitli bilgiler topluyor, tarayıcı geçmişlerini inceliyor, yüklü uygulamaları ve çalışan işlemleri kontrol ediyordu. Ayrıca, sistemde yüklü olan 166 farklı kripto para cüzdanı tarayıcı uzantısını da kontrol ederek, bu cüzdanlara erişmeye çalışıyordu. Bu cüzdanlar arasında, MetaMask, Phantom, Coinbase Wallet, Binance Wallet ve TronLink gibi popüler seçenekler yer alıyordu. Zararlı yazılım, ayrıca sistemde kalıcı olarak kalabilmek için farklı yöntemler kullanıyordu. Windows sistemlerinde Kayıt Defteri çalıştırma anahtarlarını, macOS sistemlerinde LaunchAgents’leri ve Linux sistemlerinde systemd hizmetlerini kullanıyordu.

Tedarik Zinciri Saldırıları Neden Bu Kadar Tehlikeli?

Tedarik zinciri saldırıları, son yıllarda siber güvenlik alanında en çok konuşulan tehditlerden biri haline geldi. Bu saldırılar, doğrudan hedef alınan bir sistem yerine, o sistemin güvenlik açıklarından faydalanarak dolaylı yoldan saldırı gerçekleştirmeyi hedefliyor. Açık kaynaklı yazılım ekosisteminde, geliştiriciler tarafından kullanılan paketlerin çoğu, üçüncü parti kaynaklardan temin ediliyor. Bu paketlerin içerisine gizlenmiş kötü amaçlı kodlar, geliştiricilerin sistemlerine bulaşarak, geniş bir saldırı yüzeyinin oluşmasına neden oluyor. Mastra AI saldırısı da, bu tür bir saldırının en güncel ve yıkıcı örneklerinden biri olarak karşımıza çıkıyor.

Bu saldırının en tehlikeli yanı, geliştiricilerin genellikle paketlerin içeriklerini detaylı bir şekilde incelemeden kullanmaları. Açık kaynaklı yazılım projelerinde, geliştiriciler zaman kazanmak ve karmaşıklığı azaltmak için hazır paketleri kullanmayı tercih ediyor. Ancak, bu paketlerin içerisine gizlenmiş kötü amaçlı kodlar, geliştiricilerin farkında olmadan sistemlerine zararlı yazılımların bulaşmasına neden olabiliyor. Bu durum, sadece bireysel geliştiricileri değil, aynı zamanda şirketleri ve kurumları da etkileyebiliyor. Özellikle, finans sektöründe faaliyet gösteren şirketler için, bu tür saldırılar ciddi maddi kayıplara ve itibar kayıplarına yol açabiliyor.

Trading isn't a casino. Stop gambling.

Real results from MEFAI's AI. Get $50 off the Pro plan.

Claim $50 off Pro →

Sponsored · Past performance is not indicative of future results. Not financial advice.

Geliştiriciler ve Şirketler İçin Alınması Gereken Önlemler

Mastra AI saldırısı, geliştiricilerin ve şirketlerin açık kaynaklı yazılım kullanırken daha dikkatli olmaları gerektiğini bir kez daha gösterdi. Öncelikle, geliştiricilerin kullanacakları paketleri seçerken çok dikkatli olmaları gerekiyor. Paketlerin yayıncılarını, yorumlarını ve geçmişini araştırmak, potansiyel tehditleri önceden tespit etmek için önemli bir adım. Ayrıca, paketlerin içeriklerini incelemek ve gereksiz bağımlılıkları kaldırmak da saldırı yüzeyini azaltabilir. Geliştiriciler, ayrıca, otomatik güncellemeleri devre dışı bırakarak, beklenmedik değişikliklere karşı daha dirençli hale gelebilir.

Şirketler için ise, tedarik zinciri saldırılarına karşı daha kapsamlı bir savunma stratejisi geliştirmek gerekiyor. Öncelikle, şirketlerin kullanmakta oldukları tüm üçüncü parti paketleri ve bağımlılıkları envantere alması gerekiyor. Bu envanter, potansiyel tehditlerin tespit edilmesi ve yönetilmesi için temel bir adım. Ayrıca, şirketler, geliştiricilerin sistemlerine erişimlerini sınırlandırmak ve çok faktörlü kimlik doğrulama kullanmak gibi temel güvenlik önlemlerini uygulamalı. Şirketler, ayrıca, sürekli izleme ve saldırı tespit sistemleri kullanarak, sistemlerinde meydana gelebilecek anormal aktiviteleri hızlı bir şekilde tespit edebilir. Son olarak, çalışanlara siber güvenlik eğitimleri vermek ve onları en güncel tehditler hakkında bilgilendirmek de önemli bir adım.

Kripto Para Cüzdanları ve Kişisel Veriler Neden Hedef Alınıyor?

Mastra AI saldırısında olduğu gibi, son dönemde gerçekleşen birçok siber saldırının ana hedefi kripto para cüzdanları ve kişisel veriler oluyor. Bunun temel nedeni, kripto paraların dijital doğası ve geri dönüşü olmayan işlem özellikleri. Kripto para cüzdanlarına erişim sağlayan saldırganlar, bu cüzdanlardaki varlıkları kolayca çalabiliyor ve bu varlıkları başka hesaplara aktararak izlerini kaybedebiliyor. Bu durum, saldırganlara yüksek kazanç sağlarken, kurbanlar için telafisi mümkün olmayan kayıplara neden olabiliyor. Ayrıca, kişisel verilerin çalınması da saldırganlar için oldukça değerli. Bu veriler, kimlik avı saldırıları, dolandırıcılık ve diğer siber suçlar için kullanılabiliyor.

Sapphire Sleet grubunun da benzer bir motivasyonla hareket ettiği görülüyor. Grubun geçmişteki faaliyetlerine bakıldığında, özellikle finansal kazanç elde etmeye yönelik saldırılar gerçekleştirdiği görülüyor. Bu saldırılar arasında, bankacılık sistemlerine yapılan saldırılar ve kripto para hırsızlıkları yer alıyor. Mastra AI saldırısında da, saldırganların özellikle kripto para cüzdanlarına odaklandığı görülüyor. Bu durum, Kuzey Kore’nin uluslararası yaptırımlardan kaçınmak ve finansal kaynaklarını artırmak için siber saldırıları bir araç olarak kullandığını gösteriyor. Bu tür saldırılar, sadece bireysel kullanıcıları değil, aynı zamanda şirketleri ve hatta devletleri de etkileyebiliyor.

Microsoft’un Önerileri ve Gelecekteki Tehditler

Microsoft’un saldırıya ilişkin yaptığı açıklamalarda, şirketin saldırganların tekniklerini ve taktiklerini detaylı bir şekilde analiz ettiği görülüyor. Microsoft, ayrıca, geliştiricilere ve şirketlere, saldırıdan korunmak için çeşitli önerilerde bulundu. Bunlar arasında, en son güvenlik güncellemelerini uygulamak, çok faktörlü kimlik doğrulamasını kullanmak ve sürekli izleme sistemleri kurmak yer alıyor. Microsoft’un açıklamalarında, ayrıca, saldırganların gelecekte benzer taktikleri kullanmaya devam edeceği ve saldırı yüzeyinin genişleyeceği uyarısı da yer alıyor.

Gelecekteki tehditler açısından bakıldığında, tedarik zinciri saldırılarının giderek daha karmaşık ve sofistike hale geleceği öngörülüyor. Açık kaynaklı yazılım ekosisteminin büyümesiyle birlikte, saldırganların hedef alabileceği potansiyel zayıf noktalar da artıyor. Bu durum, geliştiricilerin ve şirketlerin güvenlik stratejilerini sürekli olarak güncellemelerini gerektiriyor. Ayrıca, yapay zeka ve makine öğrenmesi teknolojilerinin siber saldırılarda kullanılması da gelecekteki tehditleri daha karmaşık hale getirebilir. Bu nedenle, siber güvenlik alanında sürekli olarak yenilikçi çözümler geliştirmek ve en güncel tehditlere karşı hazırlıklı olmak gerekiyor.

Sonuç: Açık Kaynaklı Yazılımda Güvenlik Bilinci Artmalı

Mastra AI saldırısı, açık kaynaklı yazılım ekosisteminde yer alan geliştiriciler ve şirketler için önemli bir uyarı niteliği taşıyor. Bu saldırı, tedarik zinciri saldırılarının ne kadar yıkıcı olabileceğini ve açık kaynaklı yazılımın ne kadar savunmasız olduğunu bir kez daha gösterdi. Geliştiricilerin ve şirketlerin, kullanmakta oldukları paketleri ve bağımlılıkları dikkatli bir şekilde incelemeleri, sürekli izleme sistemleri kurmaları ve en güncel güvenlik önlemlerini uygulamaları gerekiyor. Aksi takdirde, benzer saldırılar gelecekte de devam edecek ve daha fazla kurban ortaya çıkacaktır.

Sonuç olarak, açık kaynaklı yazılım ekosisteminde güvenlik bilincinin artırılması gerekiyor. Geliştiricilerin, şirketlerin ve hatta bireysel kullanıcıların, siber güvenlik konusunda daha bilinçli olmaları ve en güncel tehditlere karşı hazırlıklı olmaları gerekiyor. Bu şekilde, hem bireysel hem de kurumsal düzeyde siber saldırılara karşı daha dirençli bir yapı oluşturulabilir.