ARŞİV ▸ 20–26 Nis 2026 13–19 Nis 2026 7–13 Nis 2026
// SİBER TEHDİT İSTİHBARATI — HAFTALIK BÜLTENİ

Bitwarden CLI 93 Dakika Zehirlendi, Cisco Firestarter APT Kalıcı Backdoor, ADT 10M+ Kayıt ve LMDeploy AI Altyapısı 12 Saatte İstismar Edildi

20 Nisan – 26 Nisan 2026  ·  Yayın: 27 Nisan 2026  ·  TLP:WHITE

7 Kritik Haber
4 Aktif CVE
4 CISA KEV
3. Büyük Tedarik Dalgası
HABER
7
Kritik Olay
SUPPLY CHAIN
3.
Büyük Dalga
CISA KEV
4
Yeni Giriş
APT BACKDOOR
Cisco
Firestarter Kalıcı

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu hafta, tedarik zinciri saldırılarının yeni bir zirvesiyle başladı: 22 Nisan'da Bitwarden CLI'nın npm paketi (@bitwarden/cli@2026.4.0), Checkmarx/Shai-Hulud kampanyasının parçası olarak 93 dakika boyunca trojenleştirilmiş halde dağıtıldı. 10 milyonu aşkın kullanıcı ve 50.000'den fazla kurumun kullandığı parola yöneticisinin CI/CD altyapısına yerleştirilen zararlı paket; GitHub PAT, npm token, AWS, GCP ve Azure kimlik bilgilerini çalan, aynı zamanda AI kodlama araçlarını hedef alan ve kendi kendine yayılan bir solucan içeriyordu. Bu, Axios ve Trivy saldırılarının aynı aktör tarafından yürütülen kampanyanın üçüncü büyük halkasıdır.

CISA ve İngiltere NCSC, ortaklaşa yayımladıkları uyarıyla Cisco Firepower cihazlarındaki Firestarter backdoor'unu kamu gündemine taşıdı: UAT-4356 (ArcaneDoor grubu) tarafından konuşlandırılan bu arka kapı, yama uygulandıktan sonra bile cihazda kalmaya devam ediyor; yeniden başlatma ve firmware güncellemelerine rağmen varlığını sürdürüyor, yalnızca fiziksel güç kesimi temizliyor. ADT 10 milyon kayıt içeren ShinyHunters ihlalini doğrularken, LMDeploy'un AI altyapısındaki kritik zafiyet açıklanmasından yalnızca 12 saat 31 dakika sonra Sysdig honeypot'larında istismar edildi.

// HAFTALIK HABERLER

01
Supply Chain Checkmarx/TeamPCP Bitwarden CLI npm Shai-Hulud
Bitwarden CLI 93 Dakika Trojenleştirildi: 10M+ Kullanıcı Riski, Solucan Tüm CI/CD Kimlik Bilgilerini ve AI Araçlarını Hedef Alıyor
@bitwarden/cli@2026.4.0 — 22 Nisan 17:57–19:30 ET arası aktif. 334 indirme. preinstall hook ile çalışan bw1.js: GitHub PAT, npm token, AWS/GCP/Azure key, MCP/AI agent credential hırsızı. npm trusted publishing bypass edildi. Kampanyanın 6. büyük dalgası.
📅 22–23 Nis 2026 📰 THN / Endor Labs / Socket / JFrog / Bitwarden 🎯 Yazılım Geliştiriciler / CI/CD / DevOps
93dk
Aktif Pencere
02
APT Backdoor Devlet Destekli Cisco ASA / FTD UAT-4356 / ArcaneDoor
CISA ve NCSC Ortak Uyarısı: Firestarter Backdoor Cisco Firepower'da Yama Sonrası Dahi Kalıcı — Yalnızca Fiziksel Güç Kesimi Temizliyor
UAT-4356 (ArcaneDoor grubu) CVE-2025-20333/20362 üzerinden giriş. LINE VIPER ile VPN kimlik bilgileri çalındı. Firestarter LINA çekirdeğine kancalandı. IOC: lina_cs süreci.
📅 23–24 Nis 2026 📰 CISA / NCSC / BleepingComputer / Cisco Talos 🎯 Cisco Firepower / ASA / FTD — Kritik Altyapı
APT
Kalıcı
03
ShinyHunters ADT İhlali Vishing / Okta SSO 10M+ Kayıt
ADT ShinyHunters İhlalini Doğruladı: 10M+ Müşteri Kaydı, Okta SSO Vishing ile Ele Geçirildi, Salesforce Üzerinden Veri Çalındı
20 Nisan'da tespit, 24 Nisan SEC 8-K bildirimi. Vishing ile Okta SSO ele geçirildi → Salesforce erişimi. Ad, telefon, adres; küçük kısım SSN son 4 hanesi. 27 Nisan son tarih.
📅 20–24 Nis 2026 📰 BleepingComputer / SEC 8-K / THN 🎯 Ev Güvenlik Sektörü / Tüketici Verileri
10M+
Kayıt
04
AI Altyapısı LMDeploy SSRF 12 Saatte İstismar Sysdig TRT
LMDeploy CVE-2026-33626: AI Model Sunucusundaki SSRF Açığı Açıklamadan 12 Saat 31 Dakika Sonra İstismar Edildi — AWS IMDS, Redis ve MySQL Hedeflendi
load_image() IP doğrulaması yok. 8 dakikada AWS IMDS, Redis (6379), MySQL (3306) tarandı. PoC yok — advisory metni yeterli. Sysdig: "AI altyapısı artık saatler içinde hedef alınıyor." Tüm ≤0.12.0 etkilendi.
📅 21–22 Nis 2026 📰 THN / Sysdig TRT / GitLab Advisory 🎯 AI/ML Geliştirme / LLM Sunucuları
12.5s
Exploit Süresi
05
CISA KEV 24 Nisan Samsung / SimpleHelp / D-Link 4 Yeni Giriş
CISA 24 Nisan'da 4 Zafiyet KEV'e Ekledi: Samsung MagicINFO, SimpleHelp CVSS 9.9 ve D-Link DIR-823X — Son Tarih 8 Mayıs 2026
CVE-2024-57726 (SimpleHelp, 9.9 — ransomware zincirinde), CVE-2024-57728 (SimpleHelp path traversal → RCE), CVE-2024-7399 (Samsung MagicINFO), CVE-2025-29635 (D-Link EoL cihaz).
📅 24 Nis 2026 📰 CISA / Windows Forum / News Directory 3 🎯 Uzaktan Destek / Dijital Tabela / Router
4
CISA KEV
06
MSSP İhlali BePrime MFA Eksikliği 1858 Cihaz
Siber Güvenlik Firması BePrime İhlal Edildi: MFA Eksikliğiyle 1858 Ağ Cihazı Ele Geçirildi, Starbucks/Iberdrola/Whirlpool Verileri Açığa Çıktı
MFA olmayan admin hesabıyla giriş → API key → 1858 ağ + 2600 bağlı cihaz. 12.6 GB: düz metin kimlik bilgileri, denetim raporları, canlı kamera erişimi. Latin Amerika büyük markaları etkilendi.
📅 20 Nis 2026 📰 SharkStriker / SecurityAffairs 🎯 Latin Amerika Kurumsal Müşteriler
1858
Cihaz
07
Supply Chain GlassWorm 73 VS Code Ext. Open VSX
GlassWorm Tırmandı: Open VSX Marketplace'te 73 Yeni Uyuyan VS Code Uzantısı — Gerçek Zamanlı Ekran İzleme, RAT ve Sahte Tarayıcı Eklentisi
Mart 2026'dan devam eden kampanya genişledi. Temiz kurulum → güncelleme ile zararlı yük. RAT + sahte tarayıcı ext. + ekran kaydı. Geliştirici → kurumsal ağ pivot.
📅 20–24 Nis 2026 📰 CybersecurityNews / Malwarebytes 🎯 VS Code Kullanıcıları / Yazılım Geliştiriciler
73
Uzantı

// HAFTALIK ZAFİYETLER

CVE / TehditCVSSÜrünAçıklamaAksiyon
@bitwarden/cli@2026.4.0
Shai-Hulud / TeamPCP
Supply Chain		 Kritik Bitwarden CLI npm — 10M+ kullanıcı preinstall hook → bw1.js: GitHub PAT, npm/AWS/GCP/Azure credential + AI agent config hırsızlığı. Self-propagating solucan. npm trusted publishing bypass. 334 zararlı indirme. 22 Nisan 17:57–19:30 ET.
Anında Tepki
THN ↗
CVE-2026-33626
Aktif İstismar		 7.5 LMDeploy ≤ 0.12.0 (vision-language) load_image() IP doğrulaması yok → SSRF. 12s 31dk'da istismar. 8 dakikada AWS IMDS, Redis, MySQL tarandı. PoC gereksiz — advisory metni yeterli. GPU node'ların geniş IAM rolü blast radius'u büyütüyor.
→ commit 0f9a44e
THN ↗
CVE-2024-57726
CVE-2024-57728
CISA KEV		 9.9 / 7.2 SimpleHelp Uzaktan Destek 57726: Yetki bypass → düşük yetkili teknisyen admin API key oluşturuyor. 57728: Zip slip → RCE. Zincirlendiğinde tam sistem kontrolü. Ransomware kampanyalarında aktif kullanım. Son: 8 Mayıs 2026.
Son: 8 May 2026
CISA ↗
CVE-2025-20333
CVE-2025-20362
Firestarter / LINE VIPER
APT Aktif		 Yüksek Cisco Firepower / ASA / FTD UAT-4356 giriş vektörü. Firestarter LINA çekirdeğine kancalanıyor. Yama/reboot'a dayanıyor. Yalnızca fiziksel güç kesimi temizliyor. IOC: lina_cs süreci.
CISA Acil Direktif
CISA ↗