Ücretsiz Araç

npm Paket Güvenlik Tarayıcısı

package.json veya package-lock.json dosyanızı yükleyin, son 2 yılın bilinen npm tedarik zinciri saldırılarına ve kritik açıklarına karşı tarayalım. Hiçbir dosya sunucuya gönderilmez.

Tarama tarayıcınızda yapılır
64 zehirli paket / 15 saldırı + binlerce CVE Veritabanı güncellenme: 2026-05-12

Dosya seç veya buraya sürükle

Desteklenen: package.json, package-lock.json

🔒 Dosyanız sunucuya gönderilmez. Tarama tamamen tarayıcınızda yapılır.

Veritabanı

Taranan saldırılar ve açıklar

Toplam 3.609 güvenlik olayı taranıyor: son 2 yılın 15 büyük tedarik zinciri saldırısı + GitHub Advisory Database'ten 3.594 kritik/yüksek CVE. Toplamda 2.493+ benzersiz paket kapsamda.

Kritik Yüksek Veritabanı güncellenme: 2026-05-12 (CVE: 2026-05-12)
3.609 olay listeleniyor
Liste hazırlanıyor…
Not: Bu liste yalnızca büyük ve doğrulanmış olayları kapsar. npm ekosisteminde her gün düzinelerce typosquat ve küçük çaplı zehirli paket yayınlanır — onlar npm tarafından hızlıca kaldırılır ve genelde lock dosyalarınızda olmaz. Bu yüzden burada listelenmezler. Daha geniş tarama için Socket.dev ve npm audit önerilir.

Son 2 yılda npm’de neler oldu?

npm ekosistemi haftada milyarlarca indirme gören dev bir bağımlılık ağı. Bir paketin kendisi temiz olsa bile, dolaylı bağımlılıkları üzerinden zehirli kod projelere girebiliyor. 2024’ten bu yana belgelenen büyük olaylar:

  • LottieFiles (Ekim 2024): Maintainer’ın npm token’ı phishing ile çalındı, web3 wallet drain payload’ı yerleştirildi.
  • Solana web3.js (Aralık 2024): Spear-phishing ile 2FA bypass, private key exfiltration.
  • eslint-config-prettier (Temmuz 2025): 78M haftalık indirme. npnjs.com typosquat phishing.
  • chalk & debug “Qix” (Eylül 2025): 18 popüler paket, haftalık 2.6 milyar indirme. Şimdiye kadarki en büyük tek olay.
  • Shai-Hulud worm (Eylül 2025): İlk self-replicating npm worm. 500+ paket otomatik enfekte oldu.
  • Shai-Hulud 2.0 (Kasım 2025): 796 paket. Credential bulamazsa home dizinini siliyor.
  • React2Shell (Aralık 2025): Next.js + React’te CVSS 10.0 RCE. 24 saatte 766 sunucu hack’lendi.
  • Trivy / TeamPCP (Mart 2026): Güvenlik tarayıcısının kendisi zehirlendi. ICP blockchain C2.
  • Axios (Mart 2026): Kuzey Kore aktörü. 100M haftalık indirme. Cross-platform RAT.
  • Bitwarden CLI (Nisan 2026): npm trusted publishing’i ilk kez bypass eden saldırı.
  • TanStack (Mayıs 2026): 42 paket, 84 sürüm. İlk geçerli SLSA provenance imzalı zehirli paket. Dead-man’s switch.

Aşağıda her olayın detayını “Taranan saldırılar” bölümünde bulabilirsiniz.

Bu araç ne yapar, ne yapmaz?

Ne yapar:

  • package.json veya package-lock.json dosyanızı tarayıcınızda parse eder.
  • Doğrudan ve dolaylı tüm bağımlılıkları çıkartır.
  • İki tür veritabanına karşı karşılaştırır:
    • Tedarik zinciri saldırıları (paket içeriğine yerleştirilen zehirli kod).
    • Kritik framework açıkları (React2Shell, vb. — sürüm aralığı eşleşmesi).
  • Eşleşme bulursa: zehirli/şüpheli paketleri listeler, hangi olayla bağlantılı olduğunu gösterir, adım adım kurtarma talimatı verir.
  • Hiçbir paket bulunamazsa size temiz raporu sunar.

Ne yapmaz:

  • Bilinmeyen sıfır-gün (zero-day) saldırıları tespit edemez — yalnızca veritabanındaki kayıtlı olaylar taranır.
  • Çalışan üretim ortamınızı taramaz, sadece dosyayı analiz eder.
  • Bağımlılık ağacınızdaki performans/lisans/güncellik sorunlarını analiz etmez.
  • npm audit veya Snyk gibi kapsamlı zafiyet veritabanını yerine geçmez — onları tamamlayıcıdır.

Tarama tarayıcınızda yapılır — sunucumuza hiçbir şey gönderilmez

Hassas bilgi olan bağımlılık ağacınızı dış sunuculara göndermek yerine, tüm tarama mantığını JavaScript ile tarayıcı tarafında çalıştırıyoruz:

  1. Dosya yüklendiğinde File.text() ile tarayıcı içinde okunur.
  2. JSON parse edilir, bağımlılık listesi çıkartılır.
  3. Build sırasında sayfaya gömülen zehirli paket veritabanıyla karşılaştırma yapılır.
  4. Sonuç tarayıcınızda render edilir.

Hiçbir aşamada Zeisoft veya üçüncü taraf sunucularına veri gitmez. İsterseniz internet bağlantınızı kestikten sonra bile taramayı çalıştırabilirsiniz.

Zehirli paket bulduysam, kritik adımlar

Çok önemli: GitHub token’ı paniğe kapılıp hemen iptal etmeyin. TanStack ve Shai-Hulud 2.0 saldırılarındaki “dead-man’s switch” tam olarak bu davranışı bekliyor — token revoke edildiğinde home dizininizi siliyor.

Doğru sıra:

  1. Etkilenen makineyi internetten izole edin — Wi-Fi’yi kapatın, ethernet kablosunu çıkarın. Watcher process’in dış komut alamayacağından emin olun.
  2. Süreçleri öldürün: ps aux | grep node ile şüpheli node süreçlerini bulup kill -9 <PID> ile sonlandırın.
  3. Local cache ve bağımlılıkları silin: rm -rf node_modules ~/.npm/_cacache && npm cache clean --force.
  4. package-lock.json içinden zehirli sürüm referanslarını manuel temizleyin ve önceki bilinen-temiz sürüme rollback yapın.
  5. Temiz başka bir makineden (saldırının değmediği) GitHub token’larınızı, npm token’larınızı, AWS/cloud secret’larınızı revoke edip yeniden üretin.
  6. CI/CD pipeline cache’lerini sıfırlayın. Cloudflare/GitHub Actions/CircleCI hepsi paket cache tutar — zehirli versiyon orada da olabilir.
  7. Logları inceleyin: Token kullanım geçmişi, son commit history, beklenmedik webhook çağrıları. Sızıntı boyutunu ölçün.

Eğer üretim sisteminiz etkilendiyse veya nereden başlayacağınızdan emin değilseniz, bizimle iletişime geçin. Incident response konusunda yardımcı olabiliriz.

Sürekli koruma için pratikler

Bu araç bir teşhis aracı — gerçek koruma süreç ve disiplinle gelir:

  • npm ci kullanın, npm install değil. CI/CD’de her zaman lock dosyasını birebir takip edin.
  • Bağımlılıkları kilitleyin: package.json’da ^ ve ~ yerine kesin sürüm pin yapabilirsiniz, en azından kritik paketler için.
  • Otomatik audit: npm audit her build’de çalışsın, kritik bulgularda build kırılsın.
  • min-release-age=7 ayarı: .npmrc dosyasına eklerseniz npm yalnızca en az 7 gündür yayında olan paketleri yükler — son dakika saldırılarına karşı koruma.
  • ignore-scripts=true: .npmrc’de bu ayar postinstall/preinstall script’lerini engeller, çoğu payload bu hook’lardan çalışır.
  • 2FA + hardware key: Maintainer hesaplarınız için TOTP yerine FIDO2 (YubiKey vb.) kullanın.
  • Bağımlılık sayısını düşürün: Bir paket yerine 4-5 satır kod yazılabiliyorsa, paket eklemekten kaçının.
  • Socket.dev veya benzeri statik tarayıcılar: PR’larınızda bağımlılık değişikliklerini otomatik tarayın.

E-ticaret sitenizin veya iç yazılımınızın CI/CD pipeline’ında bu pratikleri nasıl uygulayacağınızı konuşmak isterseniz, ekibimizle görüşebilirsiniz.

npm tedarik zinciri saldırıları — sıkça sorulanlar

Tarama tamamen tarayıcınızda yapılır. Yüklediğiniz package.json veya package-lock.json dosyası Zeisoft sunucularına hiç gönderilmez. Dosya tarayıcı içinde okunur, bilinen zehirli paket listesine karşı karşılaştırılır, sonuç tarayıcınızda gösterilir. Bağımlılık ağacınız hassas bilgi olduğu için bu mimariyi bilinçli seçtik.
12 Mayıs 2026'da TanStack reposu fork edilip imzalı release pipeline'ı ele geçirildi. 42 resmi paketin 84 sürümü, geçerli SLSA provenance imzasıyla zehirli yayınlandı. Sadece @tanstack/react-router haftada 12 milyon indirme alıyor. Maintainer Tanner Linsley ekibin tamamının 2FA kullandığını doğruladı — yetmedi. Bu, geçerli imzalı sertifikayla yayılan ilk belgelenmiş npm worm'u. Defense-in-depth'in en güvendiği katman olan cryptographic provenance çökmüş durumda.
package.json yalnızca doğrudan bağımlılıklarınızı ve sürüm aralıklarını (örneğin ^1.2.3) listeler. package-lock.json ise tüm bağımlılık ağacını (alt bağımlılıklar dahil) ve kesin sürümleri içerir. Tedarik zinciri saldırıları çoğu zaman alt bağımlılıklar üzerinden gelir — bu yüzden gerçek bir güvenlik taraması için package-lock.json kullanmanız çok daha güvenilirdir. Bu araç ikisini de destekler ama lock dosyasını öneriyoruz.
Liste manuel olarak yönetiliyor — socket.dev, npm advisory, GitHub Security Advisories, Snyk, Wiz, Unit 42 ve maintainer açıklamaları takip ediliyor. Doğrulanan her tedarik zinciri saldırısı ve kritik framework açığı veritabanına ekleniyor. Şu anda son 2 yılın (2024-05 → 2026-05) belgelenmiş 15+ büyük olayı kapsanıyor. Aracı tarayıcıya yenilediğinizde her zaman en güncel liste yüklenir.
Zehirli (compromised): Paket adı + sürüm birebir veritabanındaki bir saldırıyla eşleşiyor veya bir CVE sürüm aralığına giriyor — yüksek olasılıkla zehirli kod veya kritik açık içeriyor, hemen müdahale gerekiyor. Şüpheli (suspicious): Paket adı veritabanında geçiyor ama sürüm tam eşleşmiyor; aynı paketin başka bir sürümü ele geçirildiği için aynı paket ailesindeki diğer sürümler de risk altında sayılır. Şüpheli bulgular için önce paketin resmi changelog ve advisory sayfasını kontrol edin, ardından mümkünse güvenli bilinen bir sürüme dönün.
İki şeyi birden tarar. Birincisi tedarik zinciri saldırıları — yani zehirli kod içeriği yerleştirilen paketler (TanStack, Axios, chalk/debug, Shai-Hulud worm, vs.). İkincisi kritik framework açıkları (CVE) — örneğin React2Shell (CVE-2025-55182), Next.js 15-16 ve React 19 RSC'de CVSS 10.0 uzaktan kod çalıştırma açığı. Her ikisi de package-lock.json'da fark edilir, ikisi de aynı oranda tehlikeli.
Zararlı yazılım GitHub token'ınızı çaldıktan sonra makinenize bir watcher process kuruyor. Eğer çalınan token'ı revoke etmeye çalışırsanız, watcher bunu algılıyor ve home dizinini silmeye başlıyor. Yani saldırıyı fark edip 'hemen token'ı iptal edeyim' demek, makinenizi kaybetmenize sebep oluyor. Önce makineyi izole edin, ardından temiz bir başka makineden token'ı revoke edin.
1) Token revoke etmeyin — dead-man's switch tetiklenebilir. 2) Etkilenen makineyi internetten izole edin (Wi-Fi kapat, ethernet sök). 3) node_modules klasörünü ve npm cache'i silin (rm -rf node_modules ~/.npm/_cacache). 4) package-lock.json içinden zehirli sürüm referanslarını temizleyin, önceki temiz sürüme dönün. 5) Temiz başka bir makineden GitHub token'larınızı revoke edin, yenilerini üretin. 6) CI/CD secret ve cache'lerini sıfırlayın. Önemli üretim sistemleriniz etkilendiyse incident response için bizimle iletişime geçin.
Şu an yalnızca package.json ve package-lock.json (npm) destekleniyor. Yarn ve pnpm lock dosyaları için destek yakında eklenecek. Yarn/pnpm kullanıyorsanız geçici çözüm: projede npm install --package-lock-only çalıştırarak bir package-lock.json üretip o dosyayı tarayabilirsiniz.
Eğer Next.js 15.x ile 16.0.6 arası bir sürüm veya React 19.x kullanıyorsanız büyük olasılıkla etkilenirsiniz — CVSS 10.0 unauthenticated RCE açığı var. Saldırgan tek bir HTTP isteğiyle sunucunuzda kod çalıştırıyor. 24 saatte 766 sunucu hack'lendi, çalınan npm/AWS/SSH token'ları başka tedarik zinciri saldırılarına dönüştü. Tarayıcı bu açığı sürüm aralığıyla tespit eder. Çözüm: Next.js 16.0.7+ veya 15.x patch sürümü (npx fix-react2shell-next komutu), React 19.2.1+.

Tedarik zinciri saldırısına karşı korumayı konuşalım

CI/CD pipeline güvenliği, npm provenance kontrolü ve incident response için ekibimizle görüşebilirsiniz.

E-posta

hello@zeisoft.com

Adres

Atatürk Mh. 2190. Sk. No:2A, 35430 Urla/İzmir

Formu Doldurun

Ortalama yanıt süresi: 6 saat