Siber Tehditler Güncelleniyor: Claude Sohbetleri, Kötü Niyetli npm Paketleri ve Kimlik Avı Saldırıları
Siber güvenlik dünyası sürekli bir evrim içinde; bu hafta Claude sohbet botlarının kötüye kullanılması, npm paketlerine sızan zararlı yazılımlar ve gelişmiş kimlik avı yöntemleri gündeme oturdu. İnternet adeta tasarlandığı gibi, ama daha kötüsü, kullanıldı. Arama sorguları şüpheli tarayıcı eklentileriyle çalındı, yapay zeka sohbet bağlantıları zararlı yazılım dağıtım yollarına dönüştü. macOS saldırıları bellekte çalışıp neredeyse iz bırakmazken, bulut tabanlı araçlar saldırganlar tarafından açık kapı olarak kullanıldı. Tüm bu karmaşaya maruz kalan kenar cihazlar, zehirlenmiş paketler, nakit kurye dolandırıcılıkları, veri çalıcılar ve artık neredeyse gizlenme gereği duymayan kimlik avı girişimleri de eklendi. İşte bu haftanın güvenlik tablosunun tam bir özeti.
Windows DNS Sunucularında DNS-over-HTTPS (DoH) Genel Erişime Açıldı
Microsoft, Windows Server 2025 ile birlikte gelen DNS-over-HTTPS (DoH) teknolojisinin artık genel kullanıma sunulduğunu duyurdu. Bu gelişme, istemci-sunucu DNS trafiğini şifreleyerek gizliliği artırmayı ve kimlik avı risklerini azaltmayı hedefliyor. Yeni sistem sayesinde kuruluşlar, mevcut şirket içi DNS altyapılarını değiştirmeden şifrelenmiş ve doğrulanmış DNS trafiğini kullanıma alabiliyor. Microsoft’un açıklamasına göre, DoH’un Windows DNS Sunucusu’na entegrasyonu, desteklenen istemciler için HTTPS üzerinden şifreli iletişimi mümkün kılıyor. DNS sorguları TLS aracılığıyla şifrelenerek HTTPS istekleri olarak iletiliyor. Mevcut DNS işlevselliğinin sorunsuz çalışmaya devam etmesi beklenirken, şifreli ve geleneksel DNS trafiğini barındıran karma ortamlar da destekleniyor. Bu adım, Zero Trust DNS mimarisine geçişi kolaylaştırırken, veri gizliliğini ve güvenliğini bir üst seviyeye taşıyor. Özellikle hassas verilerin aktarıldığı kurumsal ağlar için bu, önemli bir koruma katmanı anlamına geliyor. DoH’un yaygınlaşmasıyla birlikte, DNS trafiğinin izlenmesi ve manipüle edilmesi zorlaşacak, bu da genel siber güvenlik duruşunu güçlendirecektir. Bu teknoloji, 2025’in getirdiği yeniliklerden biri olarak, kurumsal ağ yöneticileri için önemli bir gündem maddesi oluşturuyor.
23 Aldatıcı Chrome Eklentisi Kullanıcı Aramalarını Paraya Çeviriyor
Güvenlik araştırmacıları tarafından ortaya çıkarılan 23 adet aldatıcı Chrome tarayıcı eklentisi, kullanıcıların varsayılan arama motorlarını gizlice değiştirerek arama sorgularını kendi kontrolündeki bir aracı yazılıma yönlendiriyor ve ardından sonuçları sunuyor. Bu eklentiler, uydu görüntüleri, üretkenlik araçları veya haber okuyucular gibi farklı görünen amaçlarla tanıtılsa da, asıl niyetleri arama ortağı gelirlerini artırmak. Bu kampanya, en az 8 farklı aracılık sistemi ve yaklaşık 758.000 etkilenen kullanıcıyı kapsıyor. Bu durum basit bir adware gibi görünse de, ciddi bir güvenlik riski barındırıyor. Öncelikle, yapılan her arama üçüncü taraf aracılara gönderildiği için büyük bir gizlilik ihlali söz konusu. Daha da önemlisi, saldırganlar web trafiğini kontrol edebildikleri için, eklenti kodunu güncellemeden diledikleri zaman normal arama sonuçlarını göstermekten vazgeçip kimlik avı bağlantıları veya zararlı indirmeler enjekte edebiliyorlar. Bu durum, kullanıcıların farkında olmadan zararlı sitelere yönlendirilmesine veya kötü amaçlı yazılımları indirmesine yol açabilir. Bu tür eklentilere karşı dikkatli olmak ve yalnızca güvenilir kaynaklardan indirilen uygulamaları kullanmak büyük önem taşıyor. Tarayıcı eklentilerinin potansiyel riskleri göz ardı edilmemeli; her indirilen eklentinin izinleri ve işlevi dikkatlice incelenmelidir. Bu tür dolandırıcılıkların yaygınlığı, internet kullanıcıları için sürekli bir tehdit oluşturuyor ve dijital hijyenin ne kadar kritik olduğunu bir kez daha ortaya koyuyor. Peki, bu tür arama yönlendirmelerinden nasıl korunabilirsiniz?
macOS’u Hedef Alan Belleksiz Saldırı Zinciri: AppleScript Tabanlı Bilgi Çalıcı ve RAT
Rusça konuşan bir saldırgan grubunun, özellikle Asya, Kuzey Amerika ve Okyanusya’daki teknoloji, medya ve iş hizmetleri sektörlerini hedef aldığına dair kanıtlar bulunuyor. Saldırganlar, ClickFix adını verdikleri sahte indirme sayfalarını kullanarak macOS kullanıcılarına AppleScript tabanlı bir bilgi çalıcı ve Uzaktan Erişim Truva Atı (RAT) bulaştırıyor. Bu ClickFix sayfaları, zararlı yazılım tarama aracı gibi görünüyor. Bu saldırının en dikkat çekici yönü, tüm bulaşma zincirinin, ilk panoya kopyalamadan zararlı yazılımın çalıştırılmasına kadar tamamen bellek üzerinde (fileless) gerçekleşmesi. Bu sayede, diskte herhangi bir kalıntı bırakmadan tespit edilmekten kaçınılıyor. Saldırganlar, bu yöntemle sistemlere sızarken geride neredeyse hiçbir iz bırakmıyor. Bu tür bellek içi saldırılar, geleneksel antivirüs yazılımları için büyük bir zorluk teşkil ediyor, çünkü disk taramalarıyla tespit edilemiyorlar. Saldırganlar, kullanıcıların dikkatini çekmek için genellikle güncel veya popüler görünen yazılımların sahte sürümlerini veya güvenlik araçlarını kullanıyor. macOS ekosisteminin göreceli güvenliği algısı, bu tür saldırıların etkinliğini artırabiliyor. Siber güvenlik uzmanları, macOS kullanıcılarını şüpheli bağlantılara tıklamamaları ve bilinmeyen kaynaklardan dosya indirmemeleri konusunda uyarıyor. Ayrıca, sistem güncellemelerinin düzenli olarak yapılması ve güvenlik yazılımlarının güncel tutulması da kritik önem taşıyor. Bu tür gelişmiş saldırı vektörleri, siber savunma stratejilerinin de sürekli olarak güncellenmesi gerektiğini gösteriyor. Peki, macOS kullanıcıları bu tür bellek içi saldırılara karşı ne gibi önlemler almalı?
Cihaz Kodu Kimlik Avı: Basit Görünen Ama Etkili Bir Tehdit
Son dönemde artan cihaz kodu (device-code) kimlik avı saldırıları, kullanıcıların kişisel bilgilerini çalmak için yeni bir yöntem sunuyor. Bu saldırı türünde, saldırganlar genellikle meşru bir hizmet gibi görünen bir web sitesi veya uygulama aracılığıyla kullanıcılara bir kod sunuyor. Kullanıcılar bu kodu, başka bir cihazda veya uygulamada oturum açmak için kullanmaları gerektiği yönünde ikna ediliyor. Ancak bu kod aslında saldırganın belirlediği zararlı bir sayfaya yönlendiriliyor. Kullanıcılar kodu girdiklerinde, aslında bilgilerini doğrudan saldırgana teslim etmiş oluyorlar. Bu yöntem, özellikle çok faktörlü kimlik doğrulama (MFA) kullanılan sistemlerde kullanıcıları kandırmak için etkili olabiliyor. Çünkü kullanıcılar, kodu girdiklerinde sanki meşru bir doğrulama işlemi yaptıklarını düşünüyorlar. Teknoloji dünyası, bu tür yaratıcı kimlik avı taktiklerine karşı sürekli olarak yeni savunma mekanizmaları geliştirmek zorunda kalıyor. Bu tür saldırılardan korunmak için en önemli adım, bilinmeyen veya şüpheli kaynaklardan gelen kodları asla girmemektir. Bir web sitesi veya uygulama sizden bir doğrulama kodu istiyorsa, bunun gerçekten o hizmete ait olduğundan emin olun. Hatta, kodu girmeden önce bağlantıyı kontrol etmek de faydalı olabilir. Bu tür kimlik avı girişimleri, kullanıcıların dijital dünyada her zaman tetikte olmaları gerektiğini gösteriyor. Siber güvenlik, sadece teknolojik çözümlerle değil, aynı zamanda kullanıcıların bilinçlendirilmesiyle de sağlanabilir. Peki, cihaz kodu kimlik avı saldırılarına karşı en etkili korunma yöntemleri nelerdir?
NastyC2 npm Paketleri ve Diğer Siber Tehditler
Bu haftaki siber güvenlik raporları, sadece ana akım platformları değil, aynı zamanda yazılım geliştirme ekosistemini de hedef alan tehditleri gözler önüne seriyor. NastyC2 adlı bir komuta kontrol (C2) çerçevesi, npm paketlerine gizlenerek geliştiricileri hedef alıyor. Bu, yazılım tedarik zinciri saldırılarının ne kadar sofistike hale geldiğinin bir göstergesi. Geliştiriciler, bağımlılık olarak ekledikleri paketlerin zararlı yazılım içerebileceği gerçeğiyle yüzleşiyor. Bu durum, güvenlik taramalarının ve paket doğrulama süreçlerinin ne kadar kritik olduğunu vurguluyor. Ayrıca, bulut tabanlı hizmetlerin saldırganlar tarafından nasıl açık bir hedef haline getirilebileceği de ayrı bir endişe kaynağı. Saldırganlar, bulut bilişim kaynaklarını ele geçirerek onları kendi amaçları için kullanabiliyor. Bu, şirketlerin bulut güvenliği konfigürasyonlarını titizlikle gözden geçirmeleri gerektiği anlamına geliyor. Nakit kurye dolandırıcılıkları ve veri çalıcılar ise hala yaygınlığını koruyan diğer tehditler arasında. Bu çeşitlilik, siber saldırganların farklı motivasyonlara ve yeteneklere sahip olduklarını ve sürekli olarak yeni yöntemler denediklerini gösteriyor. Türkiye’deki teknoloji şirketleri ve geliştiriciler için de bu küresel tehditlere karşı hazırlıklı olmak, güvenlik protokollerini güçlendirmek ve çalışanları düzenli olarak eğitmek hayati önem taşıyor. Bu tür zararlı paketlerin yaygınlığı, uluslararası işbirliklerinin ve bilgi paylaşımının siber güvenliğin sağlanmasındaki rolünü de ortaya koyuyor. Peki, bu karmaşık siber tehdit ortamında geliştiriciler nelere dikkat etmeli?
