Onlarca Red Hat paketi resmi NPM kanalında arka kapı bulundurdu

Red Hat'in resmi NPM dağıtım kanalı üzerinden yayımlanan onlarca yazılım paketinde arka kapı kodu olduğu Pazartesi günü duyuruldu. Ars Technica'nın yayımladığı habere göre olay, JFrog Güvenlik Araştırmaları Ekibi tarafından bir hafta önce keşfedildi ve Red Hat'e bildirildi.

Etkilenen paketlerin Red Hat'in 'Quay' container registry platformu ile ilgili olduğu belirtildi. JFrog araştırmacısı Andrey Polkovnychenko, Ars Technica'ya 'paketlerin enfekte edilmesi, paketleri inşa eden CI/CD pipeline'ında bir aşamada gerçekleşmiş; saldırgan resmi yayın sürecinin içine sızmayı başarmış' dedi.

Arka kapı kodunun amacı, Polkovnychenko'ya göre 'paketleri yükleyen sunucularda root erişimi sağlamak ve geri arama (callback) yoluyla saldırgana sürekli bağlantı sağlamak' idi. Etkilenen paketlerin 11 Mayıs ile 27 Mayıs 2026 arasında yayımlandığı belirtildi.

Red Hat'in bilgi güvenliği başkan yardımcısı Brian Levin, şirketin Pazartesi yayımladığı resmi açıklamasında 'derhal saldırgan giriş noktasını kapattık, etkilenen paketleri tüm dağıtım kanallarımızdan kaldırdık ve Sertifika Şeffaflık Günlüğü'ne resmi bildirim yaptık' dedi.

Ars Technica güvenlik muhabiri Dan Goodin yorumunda 'Red Hat'in dahil olduğu bu tarz tedarik zinciri olayları, kurumsal müşterilerin güven temellerini sarsıyor; özellikle hükümet ve finansal hizmet sektöründe büyük etki yaratabilir' dedi. Goodin, etkilenen paketleri indirenlerin sayısının 200 binin üzerinde olduğunu kaydetti.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Pazartesi yayımladığı uyarıda 'etkilenen paketlerin yüklendiği sunucularda derhal güvenlik incelemesi yapılmalı, root erişim günlükleri 11 Mayıs sonrası dönem için detaylı incelenmeli' tavsiyesinde bulundu. CISA, ulusal kritik altyapı operatörlerine 'ek raporlama yükümlülüğü' hatırlatması yaptı.

IBM Güvenlik Çözümleri Direktörü Pierre Allard, olay sonrası Ars Technica'ya verdiği değerlendirmede 'enterprise yazılım tedarik zincirinin doğrulanabilirlik açıklığı yüksek; tedarikçi sayısı arttıkça incelenebilirlik düşüyor' dedi. Allard, müşterilerinin SBOM (Software Bill of Materials) talep oranının olay sonrası yüzde 40 arttığını söyledi.

GitHub Güvenlik Müdürü Mike Hanley, olay tedavi sürecinde GitHub'ın 'Red Hat'in CI/CD altyapısı için kapsamlı imza doğrulama hizmetlerini geliştirmek üzere koordinasyon başlattığını' duyurdu. Hanley, yazılım imzalama ekosisteminin 'olayın ardından önemli güçlendirme yapısal olarak yaşayacak' olduğunu söyledi.

EU Siber Güvenlik Ajansı (ENISA) Yönetim Kurulu Üyesi Helena Brisman olay üzerine yaptığı açıklamada 'AB'nin yeni Siber Dayanıklılık Yasası kapsamında bu tarz tedarik zinciri olayları zorunlu bildirim kategorisinde sınıflandırılır; Red Hat'in olay bildirimi 72 saat zorunluluk içinde kalmıştır' dedi.

Goodin'in yazısı, Red Hat olayının bu yılın üçüncü büyük açık kaynak ekosistem olayı olduğunu hatırlattı. Mart 2026'da Solana Labs, Nisan'da Linux Foundation kapsamındaki Kubernetes uzantısı paketi de benzer kompromiz yaşamıştı. Bu haber kişisel güvenlik tavsiyesi niteliğinde değildir; etkilenen sistemler için kurum güvenlik politikalarınız doğrultusunda eyleme geçin.