NPM Paketlerinde Güvenlik Riski: Axios Tedarik Zinciri Olayı

JavaScript ekosisteminin en popüler HTTP istemci kütüphanelerinden biri olan Axios, 31 Mart 2026 tarihinde ciddi bir tedarik zinciri saldırısına maruz kaldı. Haftalık 100 milyonun üzerinde indirme sayısına sahip bu paketin bakımcı (maintainer) hesabı ele geçirilerek zararlı yazılım içeren sürümler npm kayıt defterine yayınlandı.

Ne Oldu?

Saldırgan, Axios paketinin birincil bakımcısının npm hesabını ele geçirdi ve hesaba kayıtlı e-posta adresini saldırgan kontrolündeki bir ProtonMail adresine değiştirdi. Ardından iki zararlı sürüm yayınlandı: axios@1.14.1 ve axios@0.30.4. Bu zararlı sürümler yaklaşık 00:21 ile 03:29 UTC saatleri arasında, yaklaşık üç saat boyunca npm üzerinde erişilebilir durumda kaldı.

Saldırgan doğrudan Axios kaynak dosyalarını değiştirmek yerine, package.json dosyasına "plain-crypto-js@4.2.1" adlı zararlı bir bağımlılık ekledi. Bu paket, npm install sırasında otomatik olarak çalışan bir postinstall betiği aracılığıyla çok platformlu bir RAT (Remote Access Trojan / Uzaktan Erişim Truva Atı) dağıttı.

Saldırının Arkasında Kim Var?

Google Tehdit İstihbarat Grubu (GTIG), bu saldırıyı en az 2018'den beri faaliyet gösteren, finansal motivasyona sahip Kuzey Kore bağlantılı bir tehdit aktörü olan UNC1069'a atfetti. Saldırıda kullanılan zararlı yazılım WAVESHAPER.V2 olarak adlandırılmış olup daha önce aynı gruba atfedilen WAVESHAPER'ın güncellenmiş bir sürümüdür.

Etkilenen Paketler ve SHA Hash'ler

Aşağıdaki paket sürümleri zararlı yazılım içermektedir:

• axios@1.14.1 — shasum: 2553649f232204966871cea80a5d0d6adc700ca

• axios@0.30.4 — shasum: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71

• plain-crypto-js@4.2.1 — shasum: 07d889e2dadce6f3910dcbc253317d28ca61c766

Uzlaşma Göstergeleri (IoC)

Ağ göstergeleri:

• sfrclak[.]com

• 142.11.206.73:8000

• packages[.]npm[.]org/product0

• packages[.]npm[.]org/product1

• packages[.]npm[.]org/product2

Dosya göstergeleri (işletim sistemine göre):

• Linux: /tmp/ld.py

• macOS: /Library/Caches/com.apple.act.mond

• Windows: %PROGRAMDATA%\wt.exe (tetikleme komutu: %PROGRAMDATA%\wt.exe -w hidden -ep bypass -file %TEMP%\6202033.ps1)

• Windows: %TEMP%\6202033.vbs

• Windows: %TEMP%\6202033.ps1

• Windows: %PROGRAMDATA%\system.bat (kalıcılık sağlayan batch betiği)

Etkilendim mi? Nasıl Kontrol Ederim?

Projelerdeki lockfile dosyalarını (package-lock.json veya yarn.lock) kontrol ederek Axios 1.14.1, 0.30.4 veya plain-crypto-js referansı olup olmadığına bakılmalıdır. Eğer mevcutsa, zararlı paket yüklenmiş demektir.

Bu zararlı sürümlerin dosya sisteminde bulunması, npm paket yöneticisi aracılığıyla kurulduğu ve ilgili sistemin enfekte olduğu anlamına gelir. Bu nedenle zararlı sürümlerin tespit edildiği her sistem tamamen ele geçirilmiş kabul edilmeli ve olay müdahale prosedürleri derhal uygulanmalıdır.

Acil Alınması Gereken Önlemler

1. Axios sürümünü derhal 1.14.0'a (veya 0.x kullananlar için 0.30.3'e) düşürün ve node_modules/plain-crypto-js dizinini silin.

2. sfrclak[.]com alan adını ve 142.11.206.73 IP adresini (port 8000) ağ düzeyinde engelleyin.

3. Etkilenen sistemlerdeki tüm ortam değişkenlerinin sızdırılmış olduğunu varsayın. NPM token'ları, bulut erişim anahtarları (AWS, Azure, GCP), SSH anahtarları, veritabanı kimlik bilgileri ve API token'larını döndürün.

4. Yukarıda belirtilen RAT dosya göstergelerini sistemlerinizde arayın. Eğer bir RAT dosyası bulunursa, sistemi tamamen ele geçirilmiş kabul edin ve yerinde temizleme girişiminde bulunmayın — bilinen temiz bir durumdan yeniden kurulum yapın.

5. macOS ve Linux sistemlerinde .bashrc ve .zshrc gibi kabuk profili dosyalarını yetkisiz değişiklikler açısından gözden geçirin.

Uzun Vadeli Güvenlik Tavsiyeleri

• Bağımlılıkları lockfile ile sabit sürümlere sabitleyin; otomatik güncellemeleri kapatın.

• Paket güncellemelerini önce test ortamında doğrulayın, ardından üretim ortamına alın.

• NPM hesaplarında iki faktörlü kimlik doğrulamayı zorunlu hale getirin.

• CI/CD pipeline'larında postinstall betiklerini denetleyin ve beklenmeyen süreç çalıştırmalarını izleyin.

• Zafiyete konu paketlerin kullanıldığı servislerde ağ ve sistem sıkılaştırması yapın.

Lockfile'ı zararlı sürümler yayınlanmadan önce commit edilmiş olan ve kurulum sırasında güncellenmemiş projeler bu saldırıdan etkilenmemiştir. Ancak yine de doğrulama yapılması önerilir.

Bu olay, tek bir ele geçirilmiş bakımcı hesabının milyonlarca geliştiriciyi nasıl risk altına alabileceğini bir kez daha göstermektedir. Tedarik zinciri güvenliği artık opsiyonel değil, zorunlu bir savunma katmanıdır.