Axios npm Paketi Hacklendi: 100 Milyon İndirilen Kütüphane RAT Yaydı

31 Mart 2026'da JavaScript ekosisteminin en çok kullanılan HTTP kütüphanesi Axios'un npm hesabı ele geçirildi; saldırganlar haftalık 100 milyonun üzerinde indirilen pakete RAT (Uzaktan Erişim Trojanı) yerleştirdi. Microsoft ve Google tarafından bağımsız olarak Kuzey Kore bağlantılı Sapphire Sleet tehdit aktörüne atfedilen bu saldırı, yazılım tedarik zincirinin ne kadar kırılgan olduğunu bir kez daha gözler önüne serdi.

Ne Oldu?

31 Mart 2026 saat 00:21 UTC'de saldırganlar, Axios'un baş geliştiricisi jasonsaayman'ın npm kimlik bilgilerini ele geçirerek iki ayrı zehirli sürüm yayımladı: axios@1.14.1 (latest etiketi) ve axios@0.30.4 (legacy etiketi). İki sürüm sadece 39 dakika arayla yayınlandı; hem güncel hem de eski versiyon kullanıcıları aynı anda hedef alındı.

Zararlı sürümler, meşru görünümlü sahte bir bağımlılık olan plain-crypto-js@4.2.1 paketini içeriyordu. Bu paketin postinstall hook'u, npm install komutu çalıştırılır çalıştırılmaz otomatik devreye giriyor; kullanıcının herhangi bir şey yapması gerekmeden sistem tehlikeye giriyordu.

Zararlı yazılım iki aşamada çalıştı:

1. Kimlik bilgisi hırsızlığı — AWS, GCP ve Azure erişim anahtarları, veritabanı şifreleri ile API token'ları çalındı
2. RAT kurulumu — sfrclak[.]com:8000 adresinden platforma özgü (Windows/macOS/Linux) uzaktan erişim trojanı indirildi

npm güvenlik ekibi zararlı sürümleri yaklaşık 2-3 saat içinde kaldırdı. Ancak bu süre içinde çok sayıda otomatik CI/CD pipeline'ının etkilenmiş olması kuvvetle muhtemel.

Kimler Etkilendi?

Axios; React, Vue, Node.js ve neredeyse her JavaScript projesinde kullanılan temel bir kütüphane. Etkilenen grup son derece geniş:

• 31 Mart 2026 tarihinde npm install axios veya npm update çalıştıran tüm geliştiriciler
• "axios": "^1.x" veya "axios": "^0.30.x" gibi semver aralığı kullanan projeler (otomatik güncelleme açıksa)
• Vercel, Netlify, GitHub Actions gibi platformlardaki CI/CD build pipeline'ları
• Bağımlılığında Axios geçen paketleri kullanan projeler (dolaylı etki)

Ne Yapmalısınız?

Projenizde Axios kullanıyorsanız aşağıdaki adımları hemen uygulayın:

• Sürüm kontrolü yapın — npm list axios komutuyla hangi sürümü kullandığınızı kontrol edin; 1.14.1 veya 0.30.4 görüyorsanız acilen harekete geçin
• Güvenli sürüme geçin — npm install axios@1.14.0 veya npm install axios@0.30.3 komutuyla güvenli sürüme dönün
• Tüm secret'ları rotate edin — Etkilenen ortamlarda AWS/GCP/Azure erişim anahtarlarını, veritabanı şifrelerini ve API token'larını derhal değiştirin; bu adımı kimlik doğrulama sisteminizi kurarken de göz önünde bulundurun
• Build loglarını inceleyin — 31 Mart tarihli CI/CD loglarında plain-crypto-js referansı var mı kontrol edin
• Sürüm kilitleyin — Gelecekte package-lock.json taahhüt edin ve semver aralığı yerine npm ci kullanmayı alışkanlık haline getirin

Zararlı sürümü yükleyip yüklemediğinizi anlamak için Snyk veya Socket.dev gibi araçlarla projenizi tarayabilirsiniz. Diğer güncel güvenlik haberlerine /haberler sayfamızdan ulaşabilirsiniz.

İlkkod'un Görüşü

Bu saldırı, her gün binlerce projede kullanılan açık kaynak araçların ne kadar kritik bir saldırı yüzeyi oluşturduğunu çarpıcı biçimde gösteriyor. ilkkod olarak müşteri projelerinde bağımlılık yönetimine baştan dikkat ediyor, package-lock.json kilitleme ve düzenli güvenlik denetimleri uyguluyoruz. Kurumsal web tasarımı veya e-ticaret projelerinizde güvenlik, bir olay sonrasında değil; mimarinin en başında tasarlanmalıdır.

Kaynaklar

• Axios Supply Chain Attack Pushes Cross-Platform RAT – The Hacker News
• Mitigating the Axios npm supply chain compromise – Microsoft Security Blog
• Axios NPM Supply Chain Compromise – SANS Institute
• Inside the Axios supply chain compromise – Elastic Security Labs
• North Korea-Nexus Threat Actor Compromises Axios npm Package – Google Cloud Blog