Tepki Kusuru Tedarik Zinciri Riskini Artırıyor

Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar

Ayrıca Microsoft, Avustralya’da ‘Evil Twin’ Hack’inden Mahkûm Edilen LNK Kusurunu Kötü Şekilde Düzeltti

Pooja Tikekar (@PoojaTikekar) •
4 Aralık 2025

ISMG her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini topluyor. Bu hafta, siber savunucular bir React çerçevesi kusurunu düzeltmeye çabaladılar, Microsoft uzun süredir suistimal edilen bir Windows kısayol kusurunu sessizce düzeltti, bir gözlemci Savunma Bakanı Pete Hegseth’in askeri bir operasyonu tehlikeye attığını söyledi, Kuzey Koreli aktörler npm “Bulaşıcı Röportaj” kampanyalarını genişletti. Avustralyalı bir BT çalışanı, havaalanı Wi-Fi “kötü ikiz” suçlarından hapse atıldı. ABD Federal Ticaret Komisyonu Avast kullanıcılarına 15,3 milyon dolar tazminat ödeyecek ve Londra belediye meclisi saldırganların verileri çaldığını doğruladı.

Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?

En sık kullanılan web uygulama çerçevelerinden birinin arkasındaki geliştiriciler, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veren maksimum önem derecesine sahip bir güvenlik açığını yamaladı.

CVE-2025-55182 olarak takip edilen güvenlik açığı, Meta tarafından geliştirilen açık kaynaklı React çerçevesinin 19 sürümünden bu yana tüm sürümlerini etkiliyor. Bu, JavaScript ön uç kitaplığını kullanan web uygulamalarının ve bulut ortamlarının Kasım 2024’ten bu yana saldırıya açık olduğu anlamına geliyor. Güvenlik açığı ” [React Server Components] Siber güvenlik şirketi Wiz, “saldırganın kontrol ettiği verilerin sunucu tarafındaki yürütmeyi etkilemesine izin veren yük işleme mantığı” diye yazdı. Exploit kodu mevcut.

Wiz, taramaların, bulut ortamlarının %39’unun savunmasız React örnekleri içerdiğini veya bağlantılı React güvenlik açığını CVE-2025-66478 olarak izleyen ilgili açık kaynaklı bir web geliştirme çerçevesi olan Next.js’nin benzer şekilde kusurlu bir sürümünü kullandığını gösterdiğini söyledi.

Wiz araştırmacıları, güvenlik açığının neredeyse “%100 başarı oranı” gösterdiğini ve bilgisayar korsanlarının bunu tam uzaktan kod yürütme elde etmek için kullanabileceğini söyledi. “Saldırı vektörü, kimliği doğrulanmamış ve uzaktır; yalnızca hedef sunucuya özel olarak hazırlanmış bir HTTP isteği gerektirir. Popüler çerçevelerin varsayılan yapılandırmasını etkiler.”

“Hemen yükseltin!” Bulut tabanlı güvenlik uzmanı Ian Coldwater’ın tavsiyesi internette geniş çapta yankı buldu.

Güvenlik firması Flashpoint, React’ın her yerde bulunması nedeniyle kusurun “önemli kurumsal ve tedarik zinciri riski” oluşturduğunu yazdı. Bilgisayar korsanlarının önümüzdeki günlerde veya haftalarda bilgi hırsızları, fidye yazılımları veya kripto korsanları gibi kötü amaçlı yazılımları dağıtmak için bundan yararlanacakları neredeyse kesin.

Microsoft, güvenlik araştırmacılarının ulus-devlet bilgisayar korsanlarının kötü amaçlı kodları gizlemesine yardımcı olduğunu söylediği on yıllık bir Windows kusurunu sessizce düzeltmiş gibi görünüyor. CVE-2025-9491 olarak kataloglanan güvenlik açığı, Windows’un işlem yapma biçimindeki bir tuhaflıktan kaynaklanıyor .lnk Başka bir dosyaya veya uygulamaya kısayol işlevi gören masaüstü simgeleri olan dosyalar (bkz.: Yamasız Windows Kusuru Ulus-Devlet Bilgisayar Korsanları için Bir Nimet).

Acros Security’deki kendin yap Windows bakımcıları Salı günü yaptığı açıklamada, Microsoft’un sorun için bir yama yayınlamış gibi göründüğünü söyledi – bir yıldan fazla bir süredir araştırmacılara, aksi yöndeki kanıtlara rağmen mevcut güvenlik önlemlerinin istismarı önlemek için yeterli olduğunu söyledikten sonra. Acros ayrıca kendi yamasının Microsoft’unkinden daha iyi olduğunu söyledi.

Bu kusurdan yararlanmak için bilgisayar korsanları, sisteme kötü amaçlı komutlar yerleştirdi. Target bir alan .lnk dosya. Hedef alan, kısayolun açması gereken dosyayı tanımlar; Bilgisayar korsanları, kısayol dosyasına çift tıklandığında açılacak gerçek kötü amaçlı dosyayı gizlemek için boşluk dolgusu ekledi. Hedef alanı inceleyen herkes Properties Windows’taki diyalog kutusu hedef alanın yalnızca ilk 260 karakterini görebilir. Bilgisayar korsanları, kötü amaçlı talimatların ekranda görünmemesi için boşluk eklerdi.

Acros, Kasım ayı Microsoft yamasının tüm hedef alanı tüm argümanları gösterecek şekilde değiştirerek sorunu çözdüğünü söyledi. Acros’un 0patch bloğunda belirttiği sorun, alanın teorik olarak 32.000 karakter uzunluğunda olabilmesidir. Şirket, Microsoft düzeltmesi hakkında “Tamam, en azından biri tümünü seçebilir, dizeyi kopyalayıp bir metin düzenleyiciye yapıştırabilir” diye yazdı.

Acros’un yaklaşımı herhangi bir sorunu tedavi etmekti. .lnk 260 karakterden uzun hedef alanı potansiyel olarak şüpheli dosya olarak belirlemek ve bağlantı dosyası adını 260 karakter sınırında kesmek için. “Yamamız, Trend Micro tarafından hedeflenen tüm kullanıcılar için tanımlanan 1000’den fazla kötü amaçlı kısayolu kıracak, Microsoft’un yaması ise bu kullanıcılar arasında yalnızca en dikkatli olanların – muhtemelen bu tür kısayolları zaten başlatmayacak olanların – kötü amaçlı komut dizisinin tamamını görmesine izin verecek” diye yazdı.

ABD Savunma Bakanlığı genel müfettişi, Savunma Bakanı Pete Hegseth’in, şifreli mesajlaşma uygulaması Signal’ı kullanarak Yemen’de gerçekleşmesi muhtemel bir askeri saldırının ayrıntılarını paylaşarak Pentagon iletişim ve güvenlik kurallarını ihlal ettiği sonucuna vardı (bkz: Rapor: Üst Düzey Trump Yetkililerinin Özel Verileri Sızdırıldı).

Mart ayındaki olayla ilgili düzeltilmiş bir raporda, Hegseth’in resmi iş için kişisel bir cihaz kullanmaması veya kamuya açık olmayan bilgileri paylaşmak için onaylanmamış bir mesajlaşma uygulaması kullanmaması gerektiği belirtildi. Hegseth ve üst düzey Trump yönetimi yetkilileri yanlışlıkla Atlantic Genel Yayın Yönetmeni Jeffrey Goldberg’i, Yemen’deki Husi mevzilerine yönelik hava saldırısının zamanlaması, silah teçhizatı ve hedef koordinatları da dahil olmak üzere kesin ayrıntılarını içeren bir Signal grup sohbetine dahil etti.

Raporda, Hegseth’in eylemlerinin “ABD misyon hedeflerinin başarısız olmasına ve ABD pilotlarına potansiyel zarar vermesine yol açabilecek operasyonel güvenlik açısından bir risk oluşturduğu” belirtiliyor. Fox-TV’nin eski haftasonu sunucusu, soruşturmacılara, savaş planlarına mesaj atarken, sekreter olarak bilgilerin gizliliğini kaldırma yetkilerini kullandığını söyledi.

Pentagon Sözcüsü Sean Parnell, Çarşamba günü raporun erken bir kopyasını alan CNN’e, soruşturmanın Hegseth için “tam bir aklanma” teşkil ettiğini söyledi. Parnell konuyu “çözüldü” ve “kapatıldı” olarak nitelendirdi.

Hegseth, ABD’nin 2 Eylül’de Karayipler’de uyuşturucu kaçakçılığı yaptığından şüphelenilen bir gemiye düzenlediği saldırı nedeniyle ayrı bir incelemeyle karşı karşıya bulunuyor; bu saldırı sırasında teknedekilerin öldürülmesi emrini vererek bir suç işlemiş olabilir.

Siber güvenlik firması Socket’deki güvenlik araştırmacıları, Kuzey Kore tehdit aktörlerine atfedilen bir kampanya olan “Bulaşıcı Röportaj” operasyonuyla bağlantılı bir kötü niyetli faaliyet dalgası tespit etti. Grup, sahte iş fırsatları veya kodlama değerlendirmeleriyle yaklaşılan geliştiricileri tehlikeye atmak amacıyla npm kayıt defterinde zararlı paketler yayınlıyor.

Şirkete göre, Kuzey Koreli bilgisayar korsanları son haftalarda en az 197 ek npm paketi yükleyerek kampanyanın toplam indirme sayısını 31.000’in üzerine çıkardı. Socket, paketlerin kurbanlardan teknik bir testi tamamlamalarının ve görevin bir parçası olarak belirli bağımlılıkları kurmalarının istendiği senaryolar aracılığıyla dağıtıldığını söyledi.

Yakın zamanda işaretlenen paketlerden biri olan tailwind-magic, meşru bir geliştirme aracı olarak sunuluyor. Araştırmacılar paketin ikincil bir komut dosyasını aldığını söyledi tetrismic.vercel.app ve ardından saldırganlar tarafından kontrol edilen GitHub hesabından başka bir veri indiriyor. Bu veri, OtterCookie bilgi hırsızlığı yapan kötü amaçlı yazılımın yeni bir sürümünü dağıtıyor.

Aynı operatörlere atfedilen kötü amaçlı npm paketlerinin bir kataloğunu tutan DPRK Araştırma izleme sitesi, aynı zamanda Ekim sonu ile Kasım sonu arasında yayınlanan 140’tan fazla zararlı paketi de listeledi ve bu da sürekli aktiviteye işaret ediyor.

Kötü amaçlı yazılım, korumalı alan ortamlarından kaçınmak için sistem kontrolleri gerçekleştirir, cihaz bilgilerini toplar ve bir komuta ve kontrol bağlantısı kurar. Etkinleştiğinde tuş vuruşlarını kaydedebilir, tarayıcıda saklanan veri yakalama dosyalarına erişebilir ve güvenliği ihlal edilmiş sistemlerden kripto para birimiyle ilgili bilgileri alabilir.

Avustralya Federal Polisi, geçtiğimiz Cuma günü Avustralyalı bir adamın, daha sonra yolcuların mahrem fotoğraflarını ve videolarını çalmak için kullandığı hesap bilgilerini toplamak amacıyla havalimanlarında ve iç hat uçuşlarında sahte Wi-Fi ağları oluşturması nedeniyle yedi yıl dört ay hapis cezasına çarptırıldığını duyurdu.

Avustralyalı haber kaynakları, adamın Perth’te yaşayan 44 yaşındaki Michael Clapsis olduğunu belirtti. Polis, Qantas çalışanlarının Nisan 2024’teki bir uçuş sırasında uçakta şüpheli bir kablosuz ağ tespit etmesi üzerine Clapsis hakkında soruşturma başlattı.

AFP, Clapsis’in, meşru bir ağla aynı hizmet seti tanımlayıcısını kullanarak sahte ağlar yayınlamak için altı yıldan fazla bir süre boyunca WiFi Ananas olarak bilinen taşınabilir bir kablosuz erişim noktasını kullandığını tespit etti. Kurbanlara ilettiği gizli bir portala girilen kurbanların kimlik bilgilerini yakalayıp sakladı. Avustralya kamu yayıncısı ABC, Clapsis’in kimlik bilgilerini kullanarak 17 yaşında bir kız da dahil olmak üzere 17 kadın ve kız çocuğunun hesaplarından 700’den fazla fotoğraf ve videoyu çalmak veya kopyalamak için kullandığını bildirdi.

Sahte kablosuz erişim noktaları şeytani ikiz saldırı olarak bilinir. Kötü bir ikizin belirtileri arasında, yinelenen Wi-Fi ağ adları (bunlardan biri kötü bir ikiz olabilir) ve kimlik bilgileri için olağandışı tutsak portal talepleri yer alır.

Polis soruşturması sırasında Clapsis, polisin 2017 ile 2023 yılları arasında çalındığına inandığı veri depolama uygulamasından yaklaşık 1.800 öğeyi sildi. Bu tür çabaların suç sayılacağı yönündeki uyarılara rağmen cep telefonunu uzaktan silmeye çalıştı.

İlk olarak Haziran 2024’te kendisine yöneltilen suçlamalara maruz kalan Clapsis, 2030’da şartlı tahliyeye hak kazanacak.

ABD Federal Ticaret Komisyonu bu hafta, antivirüs yazılımı firması Avast’ın yanıltıcı gizlilik iddialarından etkilenen 103.000’den fazla Amerikalı müşteriye ödeme dağıtmaya başladı. Ajans, toplam ödemenin yaklaşık 15,3 milyon dolar olacağını söyledi.

Avast, antivirüs araçlarını ve tarayıcı uzantılarını gizlilik kalkanları olarak pazarladı ve bunların çerezlerin izlenmesini engelleyeceğini ve web sitelerinin kullanıcı etkinliğini izlemesini durduracağını iddia etti. Ancak Şubat 2024’teki bir şikayette ayrıntılı olarak belirtildiği gibi, Avast ve onun analiz yan kuruluşu Jumpshot, eş zamanlı olarak tam tıklama akışı günlüklerini (ziyaret edilen URL’ler, arama sorguları, arka plan kaynak yükleri ve üçüncü taraf çerez değerleri) topluyor ve bunları anonim olmayan, toplu olmayan bir biçimde satıyordu.

Jumpshot, bilgileri “Tüm Tıklama Akışı” ve “İşlem Akışı” gibi ürünler halinde paketleyerek alıcıların, kalıcı tanımlayıcılar kullanarak web siteleri, cihazlar ve oturumlar genelinde kullanıcıları takip etmelerine olanak sağladı. Büyük reklam teknolojisi oyuncuları, verileri hedef kitle hedefleme ve kimlik eşleştirme amacıyla satın aldı. 2020’nin başlarında Jumpshot, sekiz petabayttan fazla geçmiş tarama kaydını biriktirmişti. Avast, FTC soruşturma talebi aldıktan sonra Ocak 2020’de Jumpshot’ı kapattı.

FTC, kullanıcılardan toplanan tarama verilerinin meme kanseri kaynaklarına yapılan ziyaretleri, siyasi kampanya sayfalarını, dini inançları, mali yardım uygulamalarını ve yetişkinlere yönelik içeriği içerdiğini söyledi.

Şirket, Nisan 2024’te Çek veri koruma kurumuna, Avrupa veri koruma yasasını ihlal ettiği için 13,9 milyon euro (yaklaşık 15 milyon dolar) para cezası ödedi. Çek ajansı, Avast’ın 100 milyon cihazdaki verileri Jumpshot’a aktardığını söyledi.

Londra belediye meclisi Pazartesi günü yaptığı açıklamada, bilgisayar korsanlarının “kopyalanan ve daha sonra alınan” tarihi verileri çaldığını söyledi. Kensington Kraliyet İlçesi ve Chelsea Sosyal Konseyi, Kasım ayının sonlarında kendilerinin ve BT hizmetlerini paylaşan komşu konseylerin Fulham’ın hacker saldırısına maruz kaldığını açıkladı (bkz.: Birden Fazla Londra Konseyi Siber Saldırıya Yanıt Veriyor).

Konsey, çalınan verilerin “yayınlanmadığını ancak kamuya açık hale gelmesi muhtemel. Öncelikli olarak bunun sakinlerin, müşterilerin ve hizmet kullanıcılarının kişisel veya mali bilgilerini içerip içermediğini kontrol ediyoruz ancak bu biraz zaman alacak” dedi.

Geçen Haftadan Diğer Hikayeler

Bilgi Güvenliği Medya Grubu’ndan New Jersey’deki Gregory Sirico, Kuzey Virginia’dan David Perera ve Güney İngiltere’den Akshaya Asokan’ın raporlarıyla.