GitHub İç Depolarına Sızma: Kötü Amaçlı VS Code Eklentisiyle 3800 Repo Ele Geçirildi Yazılım

GitHub İç Depolarına Sızma: Kötü Amaçlı VS Code Eklentisiyle 3800 Repo Ele Geçirildi

GitHub, kötü amaçlı bir VS Code eklentisi yoluyla 3800 dahili deposuna sızıldığını doğruladı. TeamPCP grubu, verileri satmayı hedefliyor.

Microsoft bünyesindeki yazılım geliştirme platformu GitHub, 3800 dahili deposuna üçüncü bir tarafça yetkisiz erişim sağlandığını doğruladı. İhlal, 19 Mayıs'ta tespit edildi ve kaynağının bir çalışan cihazında bulunan 'zehirli' bir Visual Studio Code (VS Code) eklentisi olduğu düşünülüyor. GitHub, sosyal medya üzerinden yaptığı açıklamada, güvenlik ekibinin bu eklentiyi fark ettiğini ve saldırının bu yolla gerçekleştiğini belirtti. VS Code, Microsoft tarafından geliştirilen ücretsiz ve açık kaynaklı bir kod düzenleyici olup, sıklıkla yapay zeka destekli kodlama asistanı GitHub Copilot ile birlikte kullanılıyor.

İhlali üstlenen TeamPCP adlı hacker grubu, Breached siber suç forumunda GitHub kaynak kodlarına ve yaklaşık 4000 özel depoya eriştiklerini iddia etti. Grup, çalınan veriler için en az 50 bin dolar talep ediyor. Ancak tehdit grubu, bunun bir 'fidye' olmadığını ve GitHub'ı şantaj yapmakla ilgilenmediklerini ifade etti. Sadece tek bir alıcıya satış yapacaklarını, '50 binin altında bir teklifle ilgilenmediklerini' ve 'en iyi teklifi verenin alacağını' belirttiler. Ayrıca, bir alıcı bulunduğunda verileri sileceklerini ve emekliliklerinin yakın olduğunu eklediler. Eğer alıcı çıkmazsa, verileri ücretsiz olarak sızdıracakları uyarısında bulundular.

GitHub, ihlali doğruladıktan sonra durumu kontrol altına aldıklarını açıkladı. Şirket, kötü amaçlı eklenti sürümünü kaldırdıklarını, uç noktayı izole ettiklerini ve olay müdahalesine hemen başladıklarını belirtti. Kritik sırların (şifreler, anahtarlar vb.) önceki gün ve gece boyunca döndürüldüğünü, en yüksek etkiye sahip kimlik bilgilerine öncelik verildiğini ifade etti. GitHub, günlükleri analiz etmeye, sır döndürme işlemlerini doğrulamaya ve olası takip aktivitelerini izlemeye devam ettiklerini, soruşturma gerektirdikçe ek önlemler alacaklarını ve soruşturma tamamlandığında daha ayrıntılı bir rapor yayınlayacaklarını duyurdu.

TeamPCP, büyük ölçekli yazılım tedarik zinciri saldırılarıyla hızla tanınan bir siber tehdit grubudur. Aqua Security'nin Trivy güvenlik tarayıcısı ve Checkmarx'in KICS altyapı-kod analizörü gibi yaygın kullanılan projeleri GitHub Actions ve diğer yazılım geliştirme bileşenlerine yönelik saldırılarla defalarca tehlikeye atmışlardır. Daha sonra saldırılarını Python Package Index (PyPI) üzerinden LiteLLM AI Gateway istemci kütüphanesi ve Telnyx'in resmi SDK'sı gibi meşru paketlere arka kapılı sürümler yayınlayarak genişletmişlerdir. Bu saldırılar, bulut kimlik bilgileri, SSH anahtarları, Kubernetes yapılandırmaları gibi hassas bilgileri toplamayı amaçlamaktadır. Grup, ayrıca Lapsus$ ve Vect fidye yazılım grubu gibi aktörlerle ortaklık kurarak, tedarik zinciri bileşenleri aracılığıyla ilk erişimi sağlayıp, Vect'in şifreleme ve şantajı üstlendiği bir operasyon modeli benimsemiştir.

Paylaş: