tanstack'e supply chain saldırısı, openai çalışanlarının cihazları etkilendi
arkadaşlar, openai’dan bir güvenlik açıklaması geldi. tanstack kütüphanesine yapılan supply chain saldırısında (mini shai-hulud diye adlandırılmış) openai’ın iki çalışanının macos cihazları etkilenmiş. şirket hızlıca müdahale etmiş ve kullanıcı verisi, production sistemler ya da fikri mülkiyet çalınmamış. ama yine de bu olay supply chain saldırılarının ne kadar ciddi olduğunu bir kez daha gösterdi.
olay nasıl gelişmiş
tanstack, react query gibi popüler javascript kütüphanelerinin geliştirildiği bir proje. saldırganlar bu kütüphaneye zararlı kod enjekte etmeyi başarmışlar. “mini shai-hulud” adı verilen bu saldırı, muhtemelen dune hayranı bir saldırgan tarafından gerçekleştirilmiş (shai-hulud bildiğiniz kum kurdu işte).
openai’ın iki çalışanının kurumsal macos cihazları bu zararlı kütüphaneyi kullanan bir uygulama yüzünden etkilenmiş. şirket durumu tespit eder etmez hemen harekete geçmiş:
- etkilenen cihazları izole etmişler
- detaylı inceleme yapmışlar
- macos güncellemelerini zorunlu hale getirmişler
- güvenlik önlemlerini artırmışlar
spoiler: production sistemlere sıçrama olmamış, bu çok önemli.
supply chain saldırıları nedir
agalar, supply chain (tedarik zinciri) saldırıları şöyle bir şey: siz güvendiğiniz bir kütüphane ya da yazılım kullanıyorsunuz, saldırgan o kütüphaneyi ele geçiriyor ve içine zararlı kod koyuyor. siz de “ben güvenilir kaynaktan indiriyorum” diye düşünürken aslında zararlı yazılımı sisteminize sokmuş oluyorsunuz.
klasik örnekler:
- solarwinds olayı (2020)
- codecov hack’i (2021)
- log4shell sonrası yapılan supply chain saldırıları
bu tip saldırılar çok tehlikeli çünkü:
- güvendiğiniz kaynaklardan geliyor
- tespit edilmesi zor
- geniş kitleleri etkiliyor
- bir kütüphaneyi ele geçirince o kütüphaneyi kullanan binlerce proje risk altına giriyor
openai’ın aldığı önlemler
openai şu aksiyonları almış:
- hızlı tespit ve izolasyon: zararlı aktivite tespit edilir edilmez etkilenen cihazlar ağdan ayrılmış
- detaylı inceleme: hangi verilere erişildiği, ne yapıldığı analiz edilmiş
- zorunlu güncellemeler: macos güncellemeleri zorunlu hale getirilmiş
- güvenlik katmanları: ek güvenlik önlemleri devreye sokulmuş
edit: şirket şeffaf davranıp açıklama yapması güzel, böyle olayları gizlemeye çalışanlar da var.
siz ne yapmalısınız
agalar, bu olay sadece openai’ı ilgilendirmiyor. javascript ekosistemini kullanan herkes risk altında. yapmanız gerekenler:
1. bağımlılıklarınızı kontrol edin
# npm kullananlar
npm audit
# yarn kullananlar
yarn audit
# pnpm kullananlar
pnpm audit
# tanstack kullanıp kullanmadığınızı kontrol
npm ls @tanstack/react-query
npm ls @tanstack/query-core
2. güncellemeleri takip edin
# outdated paketleri görün
npm outdated
# güvenlik güncellemelerini uygulayın
npm update
3. lock dosyalarınızı kontrol edin
package-lock.json, yarn.lock ya da pnpm-lock.yaml dosyalarınızda beklenmedik değişiklikler var mı diye bakın. bu dosyalar git’e commitlenmeli ve review edilmeli.
4. subresource integrity (sri) kullanın
cdn’den kütüphane yüklüyorsanız sri hash’leri kullanın:
<script
src="https://cdn.example.com/library.js"
integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/ux..."
crossorigin="anonymous">
</script>
5. dependency scanning araçları kullanın
- snyk: bağımlılık taraması
- dependabot: github’ın kendi aracı
- renovate: otomatik güncelleme pr’ları
- socket.dev: npm paketlerini gerçek zamanlı izleme
macos kullananlar için
openai macos güncellemelerini zorunlu hale getirmiş. siz de yapın:
# güncel sürümü kontrol
sw_vers
# güncelleme var mı bak
softwareupdate --list
# güncellemeleri yükle
sudo softwareupdate --install --all
dikkat: production sunucularda güncellemeden önce test edin, yoksa sistem ayağa kalkmaz sonra ağlarsınız.
genel güvenlik tavsiyeleri
beyler, supply chain saldırılarından korunmak için:
minimum bağımlılık prensibi: gereksiz kütüphane eklemeyin. her eklediğiniz paket potansiyel risk.
güvenilir kaynaklar: npm’den paket indirirken maintainer’ına, download sayısına, son güncelleme tarihine bakın.
private registry: şirket içi projeler için private npm registry kullanın (verdaccio, artifactory vs.)
kod review: bağımlılık güncellemelerini de review edin, “sadece version bump” diye geçmeyin.
monitoring: anormal network aktivitesi, dosya değişiklikleri gibi şeyleri izleyin.
least privilege: uygulamalarınız minimum yetkiyle çalışsın. macos’ta sandbox kullanın.
etkilenen sistemler
| Platform | Durum |
|---|---|
| OpenAI Kurumsal Cihazlar | ✅ 2 cihaz etkilendi |
| OpenAI Production Sistemleri | ❌ Etkilenmedi |
| OpenAI Kullanıcı Verileri | ❌ Etkilenmedi |
| TanStack Kullanıcıları | ⚠️ Risk altında |
| JavaScript Ekosistemleri | ⚠️ Genel risk |
timeline (olay akışı)
- saldırganlar tanstack’e zararlı kod enjekte etti
- openai çalışanlarının cihazlarına bulaştı
- openai güvenlik ekibi tespit etti
- etkilenen cihazlar izole edildi
- inceleme yapıldı
- macos güncellemeleri zorunlu hale getirildi
- açıklama yapıldı
edit: timeline’ın tam detayları henüz açıklanmadı, daha fazla bilgi gelirse güncellerim.
sonuç
arkadaşlar, bu olay şunu gösteriyor: supply chain güvenliği artık her şirketin, her geliştiricinin sorunu. openai gibi büyük bir şirket bile etkileniyorsa, bizim de dikkatli olmamız lazım.
yapmanız gerekenler:
- bağımlılıklarınızı audit edin
- güncellemeleri takip edin
- monitoring yapın
- minimum bağımlılık kullanın
- macos’unuzu güncel tutun
spoiler: supply chain saldırıları artarak devam edecek, alışın bu duruma ve önlemlerinizi alın.
kaynaklar
- OpenAI Güvenlik Açıklaması
- TanStack GitHub
- The Hacker News - Orijinal Haber
- OWASP Supply Chain Security
- npm Security Best Practices
not: bu yazı yazılırken henüz cve numarası atanmamış bu olaya. atandığında güncellerim.
şimdilik bu kadar agalar. bağımlılıklarınızı kontrol edin, güncellemelerinizi yapın, güvende kalın.
Bu içerik yapay zeka tarafından oluşturulmuştur.