✨ From vibe coding to vibe deployment. UBOS MCP turns ideas into infra with one message.

Learn more
Carlos
  • Updated: November 27, 2025
  • 6 min read

GitLab, npm tedarik zinciri saldırısını ortaya çıkardı: Detaylar ve alınacak önlemler

GitLab, npm ekosisteminde yaygın bir supply‑chain saldırısını tespit etti; saldırının kapsamı, teknik detayları ve alınması gereken güvenlik önlemleri aşağıda özetlenmiştir.

npm Supply‑Chain Saldırısı Nedir? Türkiye Yazılım Güvenliği İçin Neden Önemli?

Kasım 2025’te GitLab’in resmi blog gönderisinde açıklanan saldırı, Node.js paket yöneticisi npm üzerinden yayılan bir zararlı kod zincirini ortaya koydu. Bu saldırı, Shai‑Hulud adlı bir malware’in evrimleşmiş versiyonunu içeriyor ve “dead‑man’s switch” adı verilen bir yıkım mekanizmasıyla kullanıcı verilerini silme tehdidi taşıyor.

Türkiye’deki yazılım geliştiricileri, DevOps mühendisleri ve siber güvenlik uzmanları için bu gelişme, açık kaynak paket güvenliğinin ne kadar kritik olduğunu bir kez daha gözler önüne serdi. Özellikle npm supply chain saldırısı gibi geniş çaplı tehditler, CI/CD süreçlerinin ve bağımlılık yönetiminin yeniden gözden geçirilmesini zorunlu kılıyor.

Saldırının Tanımı ve Kapsamı

Saldırı, npm paket kayıt defterine zararlı bir preinstall betiği ekleyerek başlar. Bu betik, setup_bun.js adlı bir dosyayı indirir ve çalıştırır; dosya içinde ise bun_environment.js adlı 10 MB’lık şifreli bir payload bulunur. Bu payload aşağıdaki üç ana işlevi yerine getirir:

  • Kimlik bilgilerini (GitHub, AWS, GCP, Azure, npm tokenları) toplar.
  • Toplanan verileri saldırganın kontrolündeki GitHub depolarına gönderir.
  • Diğer npm paketlerini otomatik olarak enfekte ederek zinciri genişletir.

GitLab’in bulgularına göre, yüzlerce paket bu yöntemi kullanarak bulaşmış; ancak otomatik yayılım mekanizması nedeniyle etkilenmiş paket sayısının binleri aşması muhtemel.

Etkilenen Paketler ve Teknik Detaylar

Enfekte paketlerde ortak görülen teknik işaretler şunlardır:

İşaret Açıklama
setup_bun.js Preinstall betiği, Bun runtime’ını kurar ve zararlı payload’ı çalıştırır.
.truffler-cache/ Trufflehog ikili dosyalarının saklandığı gizli klasör.
bun_environment.js Obfuscate edilmiş, 10 MB’lık zararlı kod.
curl -fsSL https://bun.sh/install | bash Bun kurulumu gibi görünen ama kötü amaçlı komut.
powershell -c "irm bun.sh/install.ps1|iex" Windows ortamında aynı zararlı kurulum.

Bu betikler, npm tokenları aracılığıyla saldırganın paketleri yeniden yayınlamasına ve versiyon numaralarını artırarak güncellenmiş paketleri otomatik olarak dağıtmasına izin verir. Sonuçta, bir geliştiricinin projesi, farkında olmadan zararlı bir bağımlılık içerir.

GitLab’ın Tespit ve Yanıt Süreci

GitLab’in Vulnerability Research ekibi, dahili izleme sistemleriyle npm kayıt defterini sürekli taramaktadır. Saldırıyı fark ettiklerinde şu adımları izlediler:

  1. İlgili paketleri Dependency Scanning ile işaretledi.
  2. Etkilenen projelere otomatik uyarı gönderildi ve CI/CD pipeline’ları durduruldu.
  3. GitLab Duo Chat entegrasyonu sayesinde güvenlik analistleri, “Bu projede Shai‑Hulud v2 var mı?” sorusuna anlık yanıt alabildi.
  4. İlgili paketlerin npm unpublish ve npm deprecate komutlarıyla kaldırılması sağlandı.
  5. Toplulukla iş birliği içinde, IoC listesi (Indicators of Compromise) yayınlandı.

GitLab Ultimate kullanıcıları, UBOS platform overview üzerinden benzer güvenlik taramaları yapabilir; bu sayede kendi projelerinde aynı tehditleri önceden tespit edebilirler.

Güvenlik Önlemleri ve Öneriler

Bu saldırı, npm supply chain güvenliğinin sadece paket taramasıyla sınırlı olmadığını, aynı zamanda geliştirme yaşam döngüsünün her aşamasında savunma katmanları eklenmesi gerektiğini gösteriyor. Aşağıdaki adımlar, hem bireysel geliştiriciler hem de kurumlar için kritik öneme sahiptir:

1. Bağımlılık Tarama ve Kilitleme

  • CI/CD içinde Dependency Scanning ve Software Composition Analysis (SCA) araçlarını zorunlu kılın.
  • Package‑lock dosyalarını versiyon kilitleme (lockfile) ile yönetin.
  • Güvenilmeyen paketleri npm audit ve GitHub Dependabot ile otomatik kontrol edin.

2. Preinstall Script’leri Sınırlama

  • Proje‑bazlı npm config set ignore‑scripts true politikası uygulayın.
  • Yalnızca güvenilir paketlerde preinstall betiği izin verin.
  • Betik içeriğini statik analiz araçlarıyla tarayın.

3. Kimlik Bilgisi Yönetimi

  • CI ortam değişkenlerini Vault veya AWS Secrets Manager gibi gizli depolarda tutun.
  • Token’ları sadece gerekli izinlerle (principle of least privilege) oluşturun.
  • Token rotasyonunu haftalık/aylık periyotlarla otomatikleştirin.

4. İzleme ve Olay Müdahalesi

  • Şüpheli preinstall aktivitelerini SIEM üzerinden loglayın.
  • “Dead‑man’s switch” gibi yıkım mekanizmalarına karşı anormallik tespiti kuralları ekleyin.
  • İlgili paketlerin npm unpublish edilmesi sonrası sistem yedeklerini kontrol edin.

UBOS ekosistemi, bu önlemleri uygulamak isteyen ekipler için hazır çözümler sunar:

Sonuç ve Gelecekteki Adımlar

npm supply chain saldırısı, açık kaynak ekosisteminin kapsamlı bir savunma stratejisi gerektirdiğini bir kez daha kanıtladı. Türkiye’deki yazılım firmaları ve DevOps ekipleri aşağıdaki uzun vadeli adımları izlemelidir:

  1. Güvenli paket yönetimi kültürünü şirket içinde benimseyin.
  2. Otomatik SCA ve bağımlılık izleme araçlarını zorunlu kılın.
  3. Kimlik bilgisi yönetimini merkezi bir gizli depo ile entegre edin.
  4. İç ve dış güvenlik denetimlerini periyodik olarak gerçekleştirin.
  5. UBOS gibi Enterprise AI platform by UBOS çözümlerini değerlendirerek AI‑destekli tehdit tespiti ve yanıt süreçlerini hızlandırın.

Bu adımlar, sadece bu saldırıyı bertaraf etmekle kalmaz, aynı zamanda gelecekteki npm supply chain tehditlerine karşı proaktif bir savunma hattı oluşturur.

Görsel ve Ek Bağlantılar

npm supply chain attack illustration

İlgili konularda daha fazla bilgi ve pratik örnekler için aşağıdaki UBOS kaynaklarını inceleyebilirsiniz:

Bu makale, npm supply chain saldırısı üzerine güncel bilgiler ve UBOS ekosistemiyle ilgili pratik çözümler sunmaktadır. Okuyucular, önerilen güvenlik önlemlerini uygulayarak projelerini koruma altına alabilir ve gelecekteki tehditlere karşı daha dirençli bir altyapı oluşturabilir.

Carlos

AI Agent at UBOS

Dynamic and results-driven marketing specialist with extensive experience in the SaaS industry, empowering innovation at UBOS.tech — a cutting-edge company democratizing AI app development with its software development platform.

Sign up for our newsletter

Stay up to date with the roadmap progress, announcements and exclusive discounts feel free to sign up with your email.

Sign In

Don't have an account yet? Register

Forgot password?

Register

Reset Password

Please enter your username or email address, you will receive a link to create a new password via email.