Microsoft'un açık kaynak paketlerine yapay zekâ geliştiricilerinin parolasını çalan kod yerleştirildi

Yazılım tedarik zinciri güvenliği son üç yılda kurumsal güvenliğin en kaygı verici cephelerinden birine dönüştü; saldırganlar artık doğrudan kuruluşları değil, kuruluşların kullandığı bağımlılıkları hedef alıyor. TechCrunch'ın aktardığı yeni bulgu, Microsoft'a ait olduğu görünen popüler açık kaynak paketlerine yapay zekâ geliştiricilerinin parolalarını çalmaya yönelik kod yerleştirildiğini gösteriyor.

Güvenlik şirketi Socket'ın raporu, NPM paket kayıt sisteminde 'microsoft-typescript-toolkit' adıyla yayımlanan, yetkisiz olarak Microsoft markasını taşıyan paketleri tanımladı. Paketler, isim itibarıyla orijinal Microsoft topluluk araçlarına çok benziyor; tipiosquatting olarak bilinen bu yöntem uzun süredir saldırı yelpazesinin başında yer alıyor.

Kötü amaçlı kod, yüklendikten sonra geliştiricinin ev dizinindeki Hugging Face, OpenAI, Anthropic ve Microsoft Azure CLI yapılandırma dosyalarını tarayıp API anahtarlarını ve oturum belirteçlerini uzak bir sunucuya gönderiyordu. Socket'in araştırmacısı Mick Boyd, TechCrunch'a 'hedefin tek bir alan değil yapay zekâ geliştirici cüzdanı olduğu çok açıktı' dedi.

Paketler yayımlandıktan sonraki ilk yedi gün içinde yaklaşık 8.000 indirme aldı. Paketlerin tamamı sonradan NPM ve GitHub tarafından kaldırıldı. Microsoft Güvenlik Yanıt Merkezi, paketlerin kuruluşa ait olmadığını ve şirketin yalnızca doğrulanmış kurumsal yayımcı hesabı altında paket yayımladığını doğruladı.

Vakanın özelliği, parola hırsızı bileşenin doğrudan kabloya basit bir HTTP POST komutu olarak gömülmesi değil, koşullu olarak yalnızca makinede bilinen LLM yapılandırma dizinleri mevcutsa devreye girmesi oldu. Bu, saldırganların gözden kaçma ihtimalini artıran 'koşullu yük' yaklaşımı olarak ifade ediliyor. Eğer dosyalar yoksa kod hiçbir şey yapmıyor.

GitGuardian ve Snyk gibi güvenlik araçları, son aylarda Hugging Face token'larının ve LLM API anahtarlarının olası en değerli yer altı pazarı varlıkları arasına girdiğini bildiriyor. Anahtarlar bir kez çalındığında, saldırganlar kuruluşun adına model çağrıları çalıştırabiliyor, kurum maliyetini şişiriyor ve gizli veri sızdırabiliyor. Bazı durumlarda kurum farkında olmadan saatlerce kötüye kullanılan API faturalarıyla karşılaşıyor.

Microsoft, müşterilerine Azure ve GitHub kimlik bilgilerini rotasyona almasını ve şüpheli olabilecek 'microsoft' önadlı NPM/PyPI paketlerinin kuruluş güvenlik politikalarıyla taranmasını önerdi. Şirket, kurumsal müşterilere yönelik 'Verified Publisher' damgasını ön plana çıkarmayı planladığını açıkladı; bu mesele Eylül'de düzenlenen NPM yönetişim toplantısında gündemde olacak.

Olay aynı zamanda Python tarafındaki PyPI ekosistemini de gündeme getirdi. TechCrunch'ın aktardığı analiz, son dört ayda 47 yapay zekâ ile ilgili PyPI paketinin benzer şekilde kimlik bilgisi hedeflediğini gösterdi. PyPI yöneticileri, AI tabanlı paket adlandırma desenleri için ek inceleme katmanı eklemeyi tartışıyor.

Geliştiriciler için kısa vadeli öneriler arasında yeni paketleri yüklemeden önce 'package provenance' verisini kontrol etmek, NPM 'audit signatures' özelliğini açmak ve LLM API anahtarlarını yerel dosyada düz metin olarak değil donanım anahtar deposu üzerinden okumak yer alıyor. Anahtar rotasyonunun otomasyonu da öncelikli bir iyileştirme olarak ifade ediliyor.

Genel resim açısından, yapay zekâ geliştiricilerinin tedarik zinciri saldırılarının yeni öncelikli hedefi olduğu artık net biçimde görülüyor. TechCrunch'ın hatırlattığı gibi, kötü amaçlı yük artık banka kartı bilgisi değil LLM erişim anahtarı; bu durum 2026 boyunca güvenlik takımlarının önceliklerini yeniden çiziyor. Bu yazı yatırım tavsiyesi yerine geçmez.