CrowdStrike, 1 Nisan 2026'da Kuzey Kore devletiyle ilişkilendirilen tehdit grubu STARDUST CHOLLIMA'nın 31 Mart'ta Axios npm paketini ele geçirdiğini raporladı. Saldırıda çalınmış bakımcı kimlik bilgileri kullanıldı.
Axios, haftalık 100.000 ü aşan npm indirmesiyle JavaScript ekosisteminin en yaygın HTTP kütüphanelerinden biri. Sunucu ve tarayıcı ortamlarında kullanılan bu temel bağımlılığı hedef almak, uygulamayı değil bağımlılığı zehirlemenin klasik mantığı: bir kez başarılı olursan binlerce hedefe tek hamlede ulaşırsın.
Saldırganlar platforma özgü ZshBucket zararlı yazılımı yükledi. Bu, ZshBucket'in macOS dışında Linux ve Windows'ta ilk kez gözlemlendiği an. Zararlı yazılımın teknik profili ikili yük enjeksiyonu, rastgele betik çalıştırma ve dosya sistemi listelemeyi kapsıyor. Komuta-kontrol altyapısı sfrclak[.]com adresiyle STARDUST CHOLLIMA'nın bilinen altyapısıyla örtüşüyor.
CrowdStrike, grubun Q4 2025'ten itibaren operasyonel temposunu artırdığını belirtti. STARDUST CHOLLIMA 2023'teki 3CX ve X_TRADER saldırısında da aynı tedarik zinciri yaklaşımını kullanmıştı; o saldırıda yüzlerce şirketin sistemleri etkilenmişti.
Gerçek risk asimetrisini CrowdStrike'ın bulguları kamuoyuyla paylaşana kadar geçen süre belirliyor. Bu sürede kaç kurumsal sistem veri sızdırdığı hâlâ belirsiz.
Türkiye'deki savunma yazılım geliştirme ekipleri için pratik önlem şu: ASELSAN, STM ve benzeri şirketlerin Ar-GE ortamları Node.js tabanlı araçlar kullanıyorsa, bağımlılık listesindeki Axios sürümünün kriptografik hash değeri manuel olarak doğrulanmalı. Devlet destekli aktörlerin açık kaynak ekosistemini bu ölçekte hedef aldığı artık tekrarlayan bir örüntü haline geliyor.
