📅 1 May 2026 · 📰 The Register · 🎯 SAP / PyTorch / Intercom Kullanıcıları / CI/CD / Geliştirme Ortamları · TLP:WHITE
Verifier notu uyarısı: Bu haberin kaynak URL'sinden alınan raw_content, iddia edilen kampanyaya ilişkin hiçbir doğrulanabilir teknik detay içermiyor; The Register sayfası ilgili haber yerine genel içerik listesini döndürmüştür. Bu nedenle aşağıdaki analiz, kart özetinde aktarılan bilgilere temkinli bir çerçevede dayanmakta olup doğrulanamamış iddialar açıkça belirtilecektir. SOC analistleri ve sistem yöneticileri, aşağıdaki detayları bağımsız kaynaklardan teyit etmeden operasyonel karar almaktan kaçınmalıdır.
Kart özetindeki iddialara göre TeamPCP grubu, 29 Nisan–1 Mayıs 2026 tarihleri arasında SAP'ın resmi npm ekosistemindeki 4 paketini, PyTorch Lightning (lightning 2.6.2 ve 2.6.3 sürümleri), ve Intercom SDK'yı koordineli bir tedarik zinciri saldırısıyla zehirlemiştir. Saldırı vektörü olarak iddia edilen yöntem, meşru paket yayıncı hesaplarının ele geçirilmesi ya da paket adı taklidi (typosquatting/dependency confusion) tekniklerinden biridir; ancak kaynak içerik bu ayrımı doğrulamamaktadır. Zararlı payload'ın GitHub ve npm SSH anahtarlarını, AWS kimlik bilgilerini ve CI/CD ortam sırlarını (environment secrets) hedef aldığı öne sürülmektedir. PyTorch Lightning için zararlı sürümlerin yalnızca 42 dakika canlı kaldığı belirtilmektedir; bu süre, otomatik indirme botları ve CI/CD pipeline tetikleyicileri düşünüldüğünde dahi anlamlı bir maruz kalma penceresi oluşturabilir.
Tedarik zinciri saldırılarında payload teslimi genellikle paketin `postinstall` veya `install` script'leri aracılığıyla gerçekleşir. Zararlı bir npm paketi şu tür bir mekanizma içerebilir: ```json // package.json (zararlı postinstall örneği) { "scripts": { "postinstall": "node ./scripts/setup.js" } } ``` `setup.js` içinden `process.env` nesnesi okunarak `AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY`, `GITHUB_TOKEN`, `NPM_TOKEN` gibi CI/CD ortam değişkenleri saldırgan kontrolündeki bir sunucuya sızdırılabilir. Python ekosisteminde ise `setup.py` veya `pyproject.toml` içindeki `build` hook'ları benzer amaçla kullanılır. Bu yöntemler, sandbox veya statik analiz olmaksızın çoğu kurumsal CI/CD sisteminde sessizce çalışır.
Haftalık 572.000 indirme rakamı doğrulanabilseydi, etki alanının son derece geniş olacağı açıktır; SAP ekosistemi kurumsal ERP entegrasyonu, finansal veri akışları ve ödeme sistemleriyle doğrudan ilişkilidir. Finans sektörü için asıl risk, geliştiricilerin yerel makinelerinde veya CI/CD sistemlerinde (GitHub Actions, GitLab CI, Jenkins) bu paketleri yüklemesi durumunda bulut kimlik bilgilerinin ve kaynak kod deposu erişim anahtarlarının sızdırılmasıdır. PyTorch Lightning bağımlılığı ise veri bilimi ve makine öğrenmesi pipeline'larına sahip kurumları — risk modelleme, dolandırıcılık tespiti veya müşteri segmentasyonu çalışmaları yapan ekipleri — doğrudan ilgilendirir. Orta Doğu ve Türkiye'deki finans kurumları bu tür tedarik zinciri saldırılarına karşı henüz olgun bir SBOM (Software Bill of Materials) pratiğine sahip olmadığından maruz kalma riski daha yüksektir.
Bu olay, tedarik zinciri güvenliğinin npm ve PyPI gibi açık kaynak ekosistemlerinde ne denli kırılgan olduğunu bir kez daha göstermektedir. Verifier'ın belirttiği üzere kaynak içerik doğrulanamamıştır; bu nedenle TeamPCP atfı, belirtilen IoC'ler ve 572.000 indirme rakamı gibi spesifik veriler bağımsız tehdit istihbarat kaynaklarından (Socket Security, Sonatype, npm Advisory, PyPI Advisory gibi) teyit edilmeden raporlara yansıtılmamalıdır. Kurumların bu aşamada yapması gereken, önleyici ve dedektif kontrollere odaklanmaktır.