SimpleHelp'in uzaktan izleme ve yönetim (RMM) yazılımında keşfedilen kritik bir kimlik doğrulama atlatma güvenlik açığı, saldırganlar tarafından aktif olarak sömürülüyor. Blackpoint Cyber güvenlik firmasının analizine göre, CVE-2026-48558 olarak izlenen bu açık sayesinde saldırganlar, internet üzerinden erişilebilen bir SimpleHelp sunucusunda sahte bir teknik destek oturumu oluşturmayı başardı. Ardından, platformun kendi araçlarını kullanarak TaskWeaver ve Djinn Stealer adı verilen iki yeni kötü amaçlı yazılım ailesini hedef ağa yaydılar.
Güvenlik açığı, CVSS puanlama sistemine göre 10 üzerinden 10 ile en yüksek kritiklik seviyesine sahip. SimpleHelp'in OpenID Connect oturum açma mekanizması, kimlik belirteçlerinin kriptografik imzasını doğrulamadığı için, kimliği doğrulanmamış bir saldırgan sahte bir belirteç oluşturup teknik destek personeli olarak sisteme girebiliyor. Saldırgan, bu erişimi kullanarak SimpleHelp'in dosya aktarımı ve uzaktan komut çalıştırma özelliklerini kötüye kullandı. jquery.js adlı gizlenmiş bir dosyayı geçici bir Cloudflare adresinden indirip Node.js ile çalıştırarak, meşru bir destek faaliyeti gibi görünen saldırıyı gerçekleştirdi.
Blackpoint araştırmacıları, jquery.js adlı dosyanın aslında TaskWeaver adını verdikleri modüler bir Node.js yükleyicisi olduğunu belirledi. Bu yükleyici, statik analizden kaçacak şekilde tasarlanmış ve yalnızca 'deliver' komutunu destekliyor. Bu komut, operatörün gönderdiği herhangi bir kodu tam Node.js erişimiyle çalıştırarak, bir anda bilgi çalma, arka kapı veya fidye yazılımı gibi farklı yükleri devreye sokabiliyor. Ele geçirilen ikinci kötü amaçlı yazılım olan Djinn Stealer ise Windows, macOS ve Linux için geliştirilmiş çapraz platform bir bilgi hırsızı. Hedef cihazda bulut ve altyapı anahtarlarını, kaynak kodlarını, SSH kimlik bilgilerini, kripto para cüzdanlarını ve tedarik zinciri saldırılarına yol açabilecek paket kayıt defteri belirteçlerini topluyor.
Bu kötü amaçlı yazılım, çoğu bilgi hırsızından farklı olarak, yapay zeka kodlama asistanlarının arkasındaki belirteçleri de hedef alıyor. Geliştiriciler, bu asistanlara genellikle kod, veritabanı ve bulut hesaplarına kalıcı erişim izni verdiği için, çalınan belirteçler saldırgana aynı geniş erişimi sağlıyor. Blackpoint, hasarın salt sunucu ihlalinin ötesine geçtiğini vurguluyor: Tek bir güvenlik açığı, bulut platformlarına, kod depolarına, yapay zeka araçlarına ve müşteri ortamlarına uzanan bir yol haline geliyor. Çalınan kimlik bilgileri, uç nokta izole edildikten sonra bile bu erişimi canlı tutuyor. SimpleHelp, güvenlik açığını Mayıs ayı sonunda 5.5.16 ve 6.0 RC2 sürümleriyle yamaladı. CISA ise 29 Haziran'da bu açığı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Blackpoint, MSP'leri yamayı uygulamaya, SimpleHelp'i internetten çekmeye ve tüm açıkta kalan sırları döndürmeye çağırıyor.