ARŞİV ▸ 30 Mar – 5 Nis 2026 23–29 Mar 2026
// SİBER TEHDİT İSTİHBARATI — HAFTALIK BÜLTENİ

Axios npm 100M+ İndirme Zehirlendi, ShinyHunters Cisco'yu Hackledi, DPRK Drift'ten $285M Çaldı

30 Mart – 5 Nisan 2026  ·  Yayın: 6 Nisan 2026  ·  TLP:WHITE

7 Kritik Haber
4 Aktif CVE
$285M Kripto Hırsızlığı
3 CISA KEV
HABER
7
Kritik Olay
ZAFİYET
4
Aktif İstismar
SUPPLY CHAIN
3
npm / pip / Docker
CISA KEV
3
Yeni KEV Girişi

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu hafta siber güvenlik tarihinin en büyük açık kaynak tedarik zinciri saldırılarından biri gerçekleşti: 31 Mart 2026'da Axios npm paketinin resmi maintainer hesabı ele geçirildi ve haftada 100 milyon+ kez indirilen bu paketin iki sürümüne (v1.14.1 ve v0.30.4) WAVESHAPER.V2 RAT yerleştirildi. Google GTIG bu saldırıyı DPRK bağlantılı UNC1069'a, Microsoft ise Sapphire Sleet'e bağladı. Yalnızca 3 saatlik aktif pencerede bile blast radius devasa; CI/CD pipeline'ı otomatik güncelleme yapan her ortam risk altında.

ShinyHunters (UNC6040), Trivy supply chain ihlalinden çalınan credential'ları kullanarak Cisco'nun iç geliştirme ortamına girdi: 300+ GitHub repo klonlandı, AWS key'leri çalındı, 3M+ Salesforce kaydı (FBI, DHS, NASA dahil kamu kurumu verileri) ele geçirildi. DPRK/UNC4736 ise 6 aylık planlı sosyal mühendislikle Drift Protocol'den 285 milyon dolar çaldı. Fortinet FortiClient EMS'te iki kritik sıfır-gün aynı hafta aktif istismar altına girdi; Cisco IMC'de CVSS 9.8 seviyesinde donanım katmanı kimlik atlama açığı kapatıldı.

// HAFTALIK HABERLER

01
Supply Chain DPRK / UNC1069 npm / Node.js WAVESHAPER.V2 RAT
Axios npm Supply Chain Saldırısı: 100M+ Haftalık İndirme Zehirlendi, WAVESHAPER.V2 RAT Dağıtıldı — Google GTIG DPRK Atfı
Maintainer hesabı ele geçirildi. v1.14.1 ve v0.30.4 içine plain-crypto-js@4.2.1 enjekte edildi. 3 saatlik aktif pencere. Windows/macOS/Linux platformuna özel RAT. CI/CD pipeline'ları risk altında.
📅 31 Mar 2026 📰 Google GTIG / Microsoft / Elastic / Huntress 🎯 Tüm Node.js/JavaScript Geliştiriciler
100M+
İnd./Hafta
02
ShinyHunters Cisco İhlali Salesforce / AWS 3M+ Kayıt
ShinyHunters Trivy İhlalini Cisco'ya Taşıdı: 3M+ Salesforce Kaydı, FBI/DHS/NASA Verileri, 300+ GitHub Repo Klonlandı
Trivy'den çalınan AWS credential'ları ile giriş. UNC6040 vishing, Salesforce Aura ve AWS üç ayrı erişim vektörü. 3 Nisan son tarih: Cisco'ya "son uyarı".
📅 31 Mar – 3 Nis 2026 📰 BleepingComputer / SOCRadar / Hackread 🎯 Cisco / Finans / Kamu Kurumları
3M+
Kayıt
03
DPRK / UNC4736 $285M Kripto Sosyal Mühendislik DeFi / Solana
DPRK UNC4736 Drift Protocol'den 285 Milyon Dolar Çaldı — 6 Aylık Durable Nonce Sosyal Mühendislik Operasyonu
Durable nonce ile önceden imzalanmış işlemler. Akıllı sözleşme açığı yok. Security Council yönetici hakları ele geçirildi. AppleJeus/Gleaming Pisces grubu.
📅 1 Nis 2026 📰 The Hacker News / Drift Protocol 🎯 DeFi / Kripto / Finans
$285M
Çalındı
04
Sıfır-Gün Aktif İstismar Fortinet EMS Acil Hotfix
FortiClient EMS İkinci Sıfır-Gün: CVE-2026-35616 ve CVE-2026-21643 Aynı Anda Aktif İstismar Altında
Pre-auth API bypass → RCE. watchTowr honeypot'larda 31 Mart'tan aktif. PoC GitHub'da. Aynı ürünün iki farklı kritik açığı aynı hafta silah haline geldi.
📅 4–5 Nis 2026 📰 BleepingComputer / Help Net Security 🎯 Kurumsal Endpoint Yönetimi
9.1
CVSS
05
CVSS 9.8 Cisco IMC Hardware RCE BMC / OS Altı
Cisco IMC CVSS 9.8: Tek HTTP İstekle Donanım Düzeyinde Tam Kontrol — EDR ve SIEM Bu Katmanda Kör
CWE-20 input validation → admin bypass. OS ve hypervisor altında çalışıyor. APIC, Firewall MC dahil geniş ürün yelpazesi. CVE-2026-20160 (SSM, root RCE) eşlik ediyor.
📅 2 Nis 2026 📰 Cisco PSIRT / Help Net Security 🎯 Cisco UCS / Veri Merkezi
9.8
CVSS
06
Mobil Zararlı iOS / Android App Store Kripto Hırsızlığı
SparkCat Yeni Varyant: App Store ve Google Play'deki Meşru Uygulamalarda OCR ile Kripto Cüzdan Kurtarma İfadesi Hırsızlığı
Fotoğraf galerisini OCR ile tarıyor. iOS varyantı İngilizce — coğrafi sınır yok. Kaspersky App Store'da 2, Google Play'de 1 enfekte uygulama tespit etti.
📅 3 Nis 2026 📰 Kaspersky / The Hacker News 🎯 Kripto Kullanıcıları / Mobil
OCR
Saldırı
07
Zscaler ThreatLabz VPN Risk 2026 AI Hızı Zero Trust
Zscaler ThreatLabz 2026 VPN Risk Raporu: %79 Kuruluş AI Hızıyla Yarışamıyor, %63 Kullanıcı VPN'i Bypass Ediyor
%54 kritik yamayı 1 haftada yapamıyor. 1/3 şifreli trafiği incelemiyor. Finans sektöründe VPN kaynaklı ihlaller en yüksek risk. Zero Trust'a geçiş zorunlu.
📅 30 Mar 2026 📰 Zscaler ThreatLabz 🎯 Finans / Uzaktan Erişim
%79
Endişeli

// HAFTALIK ZAFİYETLER

CVE / TehditCVSSÜrünAçıklamaAksiyon
Axios npm
UNC1069 / WAVESHAPER.V2
Supply Chain		 Kritik axios@1.14.1 ve axios@0.30.4 Maintainer hesabı ele geçirildi → plain-crypto-js@4.2.1 postinstall hook → çapraz platform RAT. Windows/macOS/Linux hedef. Anti-forensic self-deletion. 31 Mart 00:21–03:20 UTC arası aktif.
Acil Downgrade
GitHub Advisory ↗
CVE-2026-35616
Aktif İstismar		 9.1 Fortinet FortiClient EMS 7.4.5–7.4.6 Pre-auth API bypass → RCE (CWE-284). 31 Mart'tan aktif istismar. PoC mevcut. CVE-2026-21643 SQL injection ile aynı anda aktif.
Acil Hotfix
BleepingComputer ↗
CVE-2026-20093
Kritik		 9.8 Cisco IMC — UCS C/M5/M6, APIC, Firewall MC Şifre değiştirmede input validation hatası → kimliksiz admin. OS/hypervisor altı donanım kontrolü. EDR kör. CVE-2026-20160 (SSM, CVSS 9.8) eşlik ediyor.
Acil Yama
THN ↗
CVE-2026-3055
Aktif Recon		 9.3 Citrix NetScaler ADC & Gateway Geçen haftadan devam: SAML IDP yapılandırmalı sistemlerde aktif keşif sürüyor. Bellek taşması → hassas veri sızdırma. Yama uygulanmayan sistemler kritik risk altında.
Devam Eden Risk
Citrix ↗