GitHub, geçtiğimiz günlerde yaşanan büyük veri ihlalinin perde arkasını aydınlattı. Microsoft'a ait yazılım geliştirme platformu, iç depolarına yapılan yetkisiz erişimin, popüler bir Visual Studio Code eklentisi olan Nx Console'un kötü amaçlı bir sürümü aracılığıyla gerçekleştiğini doğruladı. 19 Mayıs'ta yapılan açıklamada, bir saldırganın bir çalışanın cihazındaki 'zehirli' eklenti sayesinde 3800 iç depoya erişim sağladığı belirtildi. Nx Console CEO'su Jeff Cross, eklentinin 18.95.0 sürümünün Visual Studio Marketplace ve Open VSX'e yüklendiğini ve bu yüklemenin meşru bir Nx geliştiricisinin kimlik bilgilerinin ele geçirilmesiyle yapıldığını doğruladı.
Saldırgan, TanStack npm paketlerine yönelik bir tedarik zinciri saldırısı olan Mini Shai-Hulud kampanyası kapsamında bir Nx geliştiricisinin GitHub kimlik bilgilerini ele geçirdi. Kötü amaçlı eklenti, Vault, npm, AWS, GitHub, 1Password ve dosya sisteminden kimlik bilgileri, tokenlar ve gizli anahtarlar toplamak için bir yük çalıştırdı. Cross, yüklemenin diğer yöneticilerin onayı olmadan yapıldığını ve bu nedenle yayınlama sürecini sıkılaştırdıklarını belirtti. Kötü amaçlı sürüm 18 dakika boyunca yayında kaldıktan sonra kaldırıldı.
GitHub, ihlali kontrol altına aldığını ve kritik sırların döndürüldüğünü açıkladı. Ancak bu kısa süre, Nx Console eklentisini kullanan birçok açık kaynak geliştiricisinin etkilenmesi için yeterli oldu. Etkilenen kullanıcıların tüm kimlik bilgilerini döndürmeleri önerildi. Saldırının arkasındaki grup TeamPCP, çalınan verileri Lapsus$ ile işbirliği içinde 95 bin dolara satmaya çalışıyor. Grup, 'fidyecilik yapmadıklarını' ve verileri tek bir alıcıya satacaklarını, aksi halde ücretsiz sızdıracaklarını duyurdu.
Uzmanların Görüşleri
Nx CEO'su Jeff Cross, olayın yazılım tedarik zinciri güvenliği konusunda daha derin değişiklikler gerektirdiğini vurguladı. Şirket, yayınlama, otomasyon ve eklenti güvenliğini iyileştirmek için adımlar attı. Cross, 'Ekosisistemin yıllardır dayandığı varsayımlar artık geçerli değil' diyerek, açık kaynak bakımcıları arasında işbirliği çağrısında bulundu. GitHub, soruşturma tamamlandığında daha detaylı bir rapor yayınlayacağını duyurdu.