Blog
Supply Chain Attack Node.js Güvenlik NPM JavaScript AI tarafından hazırlandı

"Çözüm Yok" Diyen Tek Paket Yöneticisi: NPM ve Güvenlik

Alper Kocan 16 May 2026 16 görüntülenme

Selamlar dostlar, ben Alper. Bugün biraz dertleşeceğiz. Eğer JavaScript dünyasında kod yazıyorsanız, muhtemelen başlığımızdaki o meşhur ironik cümleyi bir yerlerde duymuşsunuzdur. Orijinali bir hiciv gazetesinden çıkan bu ifade, her büyük güvenlik açığından sonra NPM (Node Package Manager) ekosistemi için kullanılır hale geldi: "Bunu önlemenin yolu yok" diyen tek paket yöneticisi, ama nedense bu olaylar sadece onda oluyor.

Neden Hep Bizim Başımıza Geliyor?

Dürüst olalım; Python’da pip, Ruby’de RubyGems veya Rust’ta Cargo kullanırken bu kadar sık "paket çalındı", "kötü amaçlı yazılım enjekte edildi" haberleri duymuyoruz. Peki, NPM’i bu kadar kırılgan yapan ne? İşin mutfağına indiğimizde karşımıza devasa bir bağımlılık cehennemi (dependency hell) çıkıyor. Modern bir web projesinde npm install dediğinizde, aslında sadece 3-5 kütüphane indirmiyorsunuz. O kütüphanelerin bağımlı olduğu diğer kütüphaneleri, onların da bağımlı olduğu başkalarını... Derken binlerce klasörlük bir node_modules yığınıyla baş başa kalıyorsunuz.

İşte asıl tehlike burada başlıyor: Tedarik Zinciri Saldırısı (Supply Chain Attack). Siz güvenilir bir paketi kullanıyor olabilirsiniz, ancak o paketin kullandığı 15. seviyedeki küçük bir kütüphanenin geliştiricisi hesabını kaptırırsa veya kötü niyetli birine devrederse, sizin uygulamanız da otomatik olarak zehirlenmiş oluyor.

"Micro-package" Takıntısı ve Left-Pad Olayı

NPM ekosisteminin en büyük karakteristiklerinden biri "mikro paket" felsefesidir. Bir sayının tek mi çift mi olduğunu kontrol etmek için bile (evet, is-odd paketinden bahsediyorum) dışarıdan paket çekiyoruz. Bu durum, saldırı yüzeyini inanılmaz derecede genişletiyor. Hatırlarsanız, yıllar önce left-pad adında, sadece bir metnin soluna boşluk ekleyen 11 satırlık bir paket sistemden silindiğinde dünya genelinde binlerce büyük proje (React dahil) çökmüştü.

Bu olay bize şunu gösterdi: Bizler devlerin omuzlarında yükseliyoruz ama o devlerin ayakları bazen kürdan kadar ince ve kırılgan olabiliyor. Bir geliştirici sinirlenip paketini geri çektiğinde veya içine "protestware" dediğimiz siyasi mesajlar içeren kodlar eklediğinde (geçtiğimiz yıllarda node-ipc paketinde gördüğümüz gibi), tüm dünya bundan etkileniyor.

Postinstall Scriptleri: Açık Bir Kapı

Teknik bir detaya girelim. NPM paketleri yüklenirken postinstall adı verilen betikleri (scripts) çalıştırabiliyor. Bu özellik aslında paketin kurulum sonrası derlenmesi gibi masum amaçlar için var. Ancak kötü niyetli bir yazılımcı, bu betiğin içine sizin .env dosyanızdaki gizli anahtarları (API keys) çalan veya bilgisayarınıza bir backdoor (arka kapı) açan komutlar yerleştirebilir. Siz sadece bir kütüphane eklediğinizi sanırken, arka planda tüm sisteminiz taranıyor olabilir.

Peki, Gerçekten Çözüm Yok mu?

Tabii ki var, ama bu biraz disiplin ve dikkat gerektiriyor. NPM ekosistemi "hızlı hareket et ve bir şeyleri kır" (move fast and break things) kültürüyle büyüdüğü için güvenlik genellikle ikinci planda kaldı. Ancak şu adımları atarak kendimizi koruyabiliriz:

  • npm audit Kullanın: Projenizdeki bilinen güvenlik açıklarını taramak için bu komutu düzenli çalıştırın. Ancak her uyarının da kritik olmadığını unutmayın; bazen "false positive" (yanlış alarm) durumları olabilir.
  • Lock Dosyalarına Sadık Kalın: package-lock.json veya yarn.lock dosyaları, bağımlılıklarınızın tam versiyonlarını sabitler. Bu dosyaları asla görmezden gelmeyin ve versiyon güncellemelerini kontrollü yapın.
  • Gereksiz Bağımlılıktan Kaçının: İki satırlık bir işlem için kütüphane eklemek yerine, o kodu kendiniz yazın. Az paket, az dert demektir.
  • CI/CD Süreçlerinde Güvenlik: Otomatik test süreçlerinize npm audit --audit-level=high gibi kontroller ekleyerek, kritik açık barındıran kodların yayına çıkmasını engelleyin.

Son Söz: Uyanık Olmak Zorundayız

NPM'deki bu "çözüm yok" algısı aslında sistemin tasarımından kaynaklanan bir kabulleniş. Milyonlarca paketin ve geliştiricinin olduğu bir yerde her şeyi %100 denetlemek imkansız. Ancak biz geliştiriciler olarak, kullandığımız araçlara karşı daha seçici ve şüpheci yaklaşırsak bu döngüyü kırabiliriz. Unutmayın, bir paket ücretsiz olabilir ama onun güvenliğini sağlamamanın bedeli bazen çok ağır olabiliyor.

Bir sonraki yazıda görüşmek üzere, kodunuz temiz, bağımlılıklarınız güvenli olsun!

İlgili Yazılar

npm Dünyasında Dev Saldırı: Mini Shai-Hulud Tehlikesi

19 May 2026

Axios ve NPM Güvenliği: Tedarik Zinciri Tehlikesi

03 Apr 2026

Yorumlar (0)
Yorum Yap