arkadaşlar grafana labs’ın başına iş gelmiş. 19 mayıs 2026’da açıklama yaptılar, github ortamları hacklenmış. tanstack npm paketleri üzerinden gerçekleştirilmiş saldırı, oradan da grafana’nın github’ına sıçramış.

iyi haber şu ki: müşteri sistemlerine dokunulmamış, sadece github ortamları etkilenmiş. kötü haber ise: hem açık hem de kapalı kaynak kodları sızdırılmış, internal repository’ler de dahil.

ne olmuş peki

tanstack’in npm paketlerine saldırı düzenlenmiş. saldırganlar bu paketlere zararlı kod enjekte etmişler. grafana labs’ın development pipeline’ında bu paketler kullanıldığı için, oradan github ortamına erişim sağlamışlar.

…

arkadaşlar büyük olay var. github’ın başı dertte. teamccp diye bilinen ve daha önce cisco, microsoft gibi devlerin başını ağrıtan bir saldırgan grubu, github’ın iç repolarını ele geçirmiş. tam 3800 tane internal repo çalınmış ve şimdi dark web’de satılıyor.

olay nasıl olmuş

şöyle ki, github’ın bir çalışanının cihazı hackleniyor. saldırganlar bu cihaz üzerinden github’ın internal sistemlerine sızıyorlar. spoiler: bu klasik supply chain saldırısı denen şey. bir çalışan cihazını ele geçiriyorsunlar, oradan da tüm iç sistemlere erişim sağlıyorlar.

…

arkadaşlar, drupal ekibi acil bir duyuru yaptı. 20 mayıs 2026’da saat 17:00-21:00 utc arası (bizim saatimizle 20:00-00:00) tüm desteklenen sürümler için kritik bir güvenlik yaması yayınlayacaklarmış.

spoiler: drupal güvenlik ekibi “saatler ya da günler içinde exploit’ler geliştirilebilir” diye uyarıyor. yani bu iş ciddi, boş durmamanız lazım.

durum nedir?

drupal, php tabanlı içerik yönetim sistemi (cms) için kritik seviyede bir güvenlik açığı tespit etmiş. henüz detayları açıklamadılar ama aciliyet seviyesinden anlaşılıyor ki iş ciddiye binmiş.

…

arkadaşlar, endüstriyel otomasyon tarafında çalışanlar dikkat. universal robots’un polyscope 5 yazılımında kritik bir açık bulunmuş ve CVE-2026-8153 numarasıyla yayınlanmış. konu ciddi çünkü fabrika zeminindeki robot kollarınız hacklenebilir durumda.

ne var ne yok

universal robots’un polyscope 5 platformunda os komut enjeksiyonu (command injection) zafiyeti tespit edilmiş. yani saldırgan, robot kontrol sistemine komut göndererek istediği kodu çalıştırabilir.

spoiler: bu tür açıklar endüstriyel sistemlerde çok tehlikeli oluyor çünkü fiziksel dünyayla etkileşim var ortada. robot kolları üretim hattında çalışıyor, yanlış komut gönderirseniz hem üretim duruyor hem de güvenlik riski oluşuyor.

…

arkadaşlar, enterprise dünyasının mail güvenlik çözümlerinden biri olan seppmail secure e-mail gateway’de kritik seviyede açıklar bulunmuş. durum ciddi, çünkü bu açıklar sayesinde saldırganlar hem uzaktan kod çalıştırabilir (rce denen bela) hem de sistemden geçen bütün mailleri okuyabilir. yani şirketin tüm mail trafiği elden gitmiş oluyor.

spoiler: bu açıklar virtual appliance üzerinde çalışıyor ve iç ağa giriş noktası olarak da kullanılabilir. yani sadece mail okumakla kalmıyor, oradan içeri sızabiliyorlar.

ne var ne yok bu açıklarda

seppmail, enterprise seviyede mail güvenliği sağlayan bir çözüm. normalde maillerinizi korumak için kullanıyorsunuz ama bu sefer koruyucu kendisi korunmaya muhtaç hale gelmiş.

…

arkadaşlar, yazılım tedarik zincirine saldırılar yeni bir boyuta geçmiş durumda. artık sadece koda kötü niyetli şeyler sıkıştırmaya çalışmıyorlar, doğrudan geliştiricilerin erişim bilgilerini çalmaya başlamışlar.

son 48 saat içinde npm, PyPI ve Docker Hub’a üç ayrı kampanya düzenlenmiş. üçünün de ortak hedefi ne biliyor musunuz? geliştirici ortamlarından ve CI/CD pipeline’larından sır çalmak. yani API anahtarları, cloud credential’ları, SSH anahtarları, token’lar falan. klasik “kodu kirletme” yönteminden “anahtarları çal” taktiğine geçmişler.

durum ne kadar ciddi?

spoiler: çok ciddi. artık sadece kod repository’lerinizi korumak yetmiyor, geliştiricilerin bilgisayarlarını da tedarik zincirinin bir parçası olarak görmeniz lazım.

…

arkadaşlar, windows’ta yeni bir sıfır-gün açığı ortaya çıktı ve poc’u bile yayınlandı. “miniplasma” denen bu açık sayesinde saldırganlar tamamen yamalı windows sistemlerinde system yetkisine çıkabiliyorlar. yani en yüksek yetki, işletim sisteminin kralı.

olay nedir?

bir güvenlik araştırmacısı windows’ta privilege escalation (yetki yükseltme) açığı bulmuş ve poc’unu (proof-of-concept, yani çalışan örnek kod) da yayınlamış. şöyle ki, normal bir kullanıcı hesabıyla başlayıp system seviyesine çıkabiliyorsunuz. system yetkisi demek, windows’ta administrator’den bile üst seviye, yani işletim sisteminin tanrısı gibi bir şey.

…

arkadaşlar, secret blizzard diye bilinen rus hacker grubu yine iş başında. bu sefer de kazuar diye bir backdoor’u (arka kapı) tamamen yenilemişler. eskiden klasik bir arka kapıydı, şimdi ise modüler p2p botnet’e dönüştürmüşler. yani daha kalıcı, daha gizli, daha tehlikeli bir şey haline gelmiş.

ne olmuş yani?

kazuar aslında yeni bir şey değil, yıllardır kullanılan bir backdoor. ama secret blizzard grubu bunu tamamen yeniden yazmış. artık peer-to-peer (p2p) mimaride çalışıyor, yani merkezi bir komuta-kontrol sunucusu yok. botnet’teki diğer enfekte makinelerle direkt haberleşiyor. bu da tespiti çok zorlaştırıyor çünkü klasik c2 trafiğini arıyorsunuz ama bulamıyorsunuz.

…

arkadaşlar grafana’dan kötü haber var. yetkisiz birisi grafana’nın github tokenını ele geçirmiş ve tüm kod tabanını indirmiş. üstüne bir de şantaj denemesi yapmışlar. yani klasik “kodunuzu aldık, para verin” hikayesi.

olay nasıl gelişmiş

grafana resmi açıklamasında şöyle demiş: “yetkisiz bir taraf, github ortamımıza erişim sağlayan bir token elde etti ve kod tabanımızı indirdi.” spoiler: şirket müşteri verisi veya kişisel bilgi sızdırılmadığını, müşteri sistemlerine etki olmadığını söylüyor. ama yine de durum ciddi.

…

arkadaşlar, wordpress’te kullanılan funnel builder eklentisinde kritik bir açık var ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak woocommerce ödeme sayfalarına zararlı javascript kodu enjekte ediyorlar, yani müşterilerinizin kredi kartı bilgilerini çalıyorlar. sansec bu hafta detayları yayınladı.

ne oluyor yani?

şöyle ki, funnel builder denen wordpress eklentisinde bir zafiyet var. saldırganlar bu açığı kullanarak woocommerce checkout (ödeme) sayfalarına kendi javascript kodlarını sokuyorlar. müşteri kart bilgilerini girdiği anda, hop bilgiler saldırganın eline geçiyor. klasik skimming olayı işte, ama dijital versiyonu.

…