Kuzey Koreli Hackerlar PolinRider ile Yazılım Geliştiricilerini Hedef Aldı

Kuzey Kore bağlantılı siber saldırı grupları, son dönemde ‘PolinRider’ adı verilen kapsamlı bir operasyonla yazılım geliştirme ekosistemini derinden etkileyecek adımlar attı. Bu yeni kampanyanın, daha önce ‘Contagious Interview‘ olarak bilinen tehdit aktörleriyle ilişkili olduğu düşünülüyor. Saldırganlar, npm, Packagist, Go ve Google Chrome gibi popüler platformlarda toplam 108 adet kötü amaçlı yazılım paketleri ve tarayıcı eklentisi yayımlayarak yazılımcıların güvenliğini ciddi şekilde tehdit ediyor.
PolinRider Kampanyasının Kapsamı ve Yayılımı
PolinRider kampanyası, siber güvenlik araştırmacılarının dikkatini çeken sofistike bir tehdit yayılımı sergiliyor. Tespit edilen 162 zararlı yayın artefaktı, 108 farklı paket ve eklentiye karşılık geliyor. Bu dağıtım içinde 19 npm kütüphanesi, 10 Composer paketi, 61 Go modülü ve bir adet Google Chrome eklentisi bulunuyor. Kampanyanın aktifliğini koruduğu ve tehdit aktörlerinin sürdürücü hesaplarını ele geçirerek, yasal depoları manipüle ederek ve ele geçirdikleri kayıt defteri erişimlerini kullanarak yeni zararlı paketler yayımlamaya devam edebileceği belirtiliyor.
Bu operasyonun kökenleri, en az 2023’ten beri aktif olan ve yazılım geliştiricileri ile kripto para sektöründe çalışan bireyleri hedef alan Contagious Interview kampanyasına dayanıyor. O dönemde saldırganlar, ikna edici iş görüşmeleri ve değerlendirmeleri aracılığıyla kurbanları kötü amaçlı kod çalıştırmaya ikna etmeye çalışıyordu. PolinRider, bu daha geniş çaplı çabanın bir uzantısı olarak ortaya çıkıyor ve saldırıların teknolojik karmaşıklığını ve hedefleme hassasiyetini artırıyor.
Geliştiricilere Yönelik Oltalamanın Derinlikleri
Contagious Interview kampanyasının temelinde, geliştiricileri ve kripto para uzmanlarını kandırmaya yönelik kapsamlı bir sosyal mühendislik yatıyor. Saldırganlar, LinkedIn, GitHub veya serbest çalışma platformları gibi mecralarda kendilerini işe alım uzmanı veya iş birliği ortağı gibi tanıtıyor. Bu kimlik bürünme eylemi genellikle sahte ön şirketler kurma ve yapay zeka tarafından oluşturulmuş çalışan profilleri kullanma gibi detaylı adımlarla destekleniyor. Amaç, güven oluşturmak ve nihayetinde hedeflenen sistemlere kötü amaçlı yazılım dağıtmaktır.
Bu yöntemle geliştiriciler, cazip görünen iş teklifleri veya proje iş birlikleriyle ikna edilerek, aslında zararlı kodlar içeren dosyaları indirmeye veya çalıştırmaya teşvik ediliyor. Oltalama senaryolarının inandırıcılığı, saldırganların zaman ve kaynak harcayarak yarattığı detaylı dijital kimliklerle artırılıyor. Bu tür saldırıların sürekli evrimi, yazılım geliştirme ekosisteminin en zayıf halkası olan insan faktörünün hedeflenmesinde ne denli etkili olabileceğini gözler önüne seriyor.
GitHub Depolarının İstismarı ve Yeni Taktikler
PolinRider kampanyasının belirgin özelliklerinden biri, GitHub depolarının stratejik olarak istismar edilmesidir. Mart 2026’da ilk kez OpenSourceMalware ekibi tarafından fark edilen bu aktivite, yüzlerce kamuya açık GitHub deposuna kötü amaçlı, karmaşık JavaScript yüklerinin enjekte edilmesini içeriyor. Bu yükler, Contagious Interview ile ilişkili bilinen bir JavaScript kötü amaçlı yazılımı olan BeaverTail’in yeni bir varyantını dağıtmak için kullanılıyor. Nisan 2026 itibarıyla, bu saldırı 1.047 benzersiz sahibine ait 1.951 kamuya açık GitHub deposunu tehlikeye atmış durumda.
Kampanya, TaskJacker olarak adlandırılan başka bir saldırı kümesiyle birleşerek daha da karmaşık hale geldi. TaskJacker, GitHub kullanıcılarının mevcut depolarına kötü amaçlı VS Code görev dosyaları bırakıyor. Bu VS Code görevleri, özellikle “runOn: ‘folderOpen'” seçeneğini içererek, kullanıcı bir IDE’de (örneğin VS Code veya Cursor) klasörü bir çalışma alanı klasörü olarak açtığında rastgele kodun yürütülmesini tetikleyebiliyor. Bu teknik, geliştirme ortamının doğrudan hedef alınarak, en kritik anlardan birinde zararlı kodun çalıştırılmasını sağlıyor.
Hesap Ele Geçirme ve Gizli Kod Enjeksiyonu
Saldırganlar, GitHub kimlik bilgilerini doğrudan çalmaktan ziyade, kurbanların kötü amaçlı bir VS Code eklentisi veya npm paketi aracılığıyla ele geçirildiğine inanılıyor. Bakımcı hesaplarının ele geçirilmesi, muhtemelen süresi dolmuş alan adı ele geçirme veya başka bir hesap kurtarma yoluyla gerçekleşiyor. Bu ele geçirme yöntemi, saldırganların yasal projelere ve paketlere zararlı kod eklemesine olanak tanıyor, bu da tedarik zinciri saldırılarının tehlikesini artırıyor.
Kötü amaçlı yazılım çalıştırıldıktan sonra, enfekte olmuş bilgisayarda postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs, babel.config.js ve app.js gibi belirli dosyaları arıyor. Bu dosyalar bulunduğunda, bunlara kötü amaçlı JavaScript kodu ekleniyor. Ayrıca, Windows toplu iş betikleri kullanılarak son kaydın (commit) gizlice değiştirilmesi sağlanıyor. Bu manipülasyon, değişikliklerin orijinal yazar tarafından yapılmış gibi görünmesini sağlıyor. Benzer araçların Linux ve macOS gibi diğer işletim sistemlerinde de Git geçmişini yeniden yazmak için kullanıldığına dair şüpheler bulunuyor, bu da saldırıların derinliğini ve tespit edilmesini zorlaştırdığını gösteriyor.
Siber Güvenlikte Geliştiricinin Rolü ve Korunma
PolinRider gibi kampanyalar, yazılım geliştirme tedarik zincirinin ne kadar hassas olduğunu bir kez daha ortaya koyuyor. Geliştiricilerin ve organizasyonların bu tür saldırılara karşı dirençli olabilmesi için kapsamlı güvenlik önlemleri alması gerekiyor. Bu, sadece güçlü parola politikaları veya çok faktörlü kimlik doğrulama ile sınırlı kalmamalı, aynı zamanda kullanılan tüm üçüncü taraf paket ve eklentilerin titizlikle incelenmesini de içermelidir.
Kaynak kod incelemesi, yazılım bağımlılıklarının taranması ve geliştirme ortamlarının sıkılaştırılması, potansiyel güvenlik açıklarını azaltmada kritik rol oynar. Bir paketin veya uzantının güvenilirliğini değerlendirirken, sadece popülerliğe değil, aynı zamanda geliştirici topluluğundaki geçmişine, güvenlik güncellemelerinin sıklığına ve bilinen güvenlik zafiyetlerine karşı alınan önlemlere de dikkat etmek gerekir. Unutulmamalıdır ki, dijital dünyanın bu karmaşık ve sürekli değişen tehdit ortamında, yazılım geliştiricilerin uyanıklığı, en güçlü savunma mekanizmalarından biridir.
Sık Sorulan Sorular
İlgili Makaleler
- ›Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor
- ›Gizlenen Kimlik Avı Dalgaları Geleneksel E-posta Kalkanlarını Kırıyor
- ›Kimlik Doğrulama Adımı: Siber Saldırıların Yeni Cephesi
- ›Tenda Router Yazılımlarında Gizli Yönetici Arka Kapısı Riski
- ›Dijital Güvenlikte Yeni Dönem: 2026’nın En İyi Yapay Zeka ve Kimlik Korumalı Antivirüs Programları