GitHub İhlali, Kötü Amaçlı 'Nx Konsolu' VS Kod Uzantısıyla Takip Edildi Siber Güvenlik

GitHub İhlali, Kötü Amaçlı 'Nx Konsolu' VS Kod Uzantısıyla Takip Edildi

GitHub, yakın zamanda dahili depolarında yaşanan bir ihlalin, 'Nx Konsolu' adı verilen Microsoft Visual Studio Code (VS Code) uzantısındaki bir güvenl...

GitHub, yakın zamanda dahili depolarında yaşanan bir ihlalin, 'Nx Konsolu' adı verilen Microsoft Visual Studio Code (VS Code) uzantısındaki bir güvenlik açığından kaynaklandığını doğruladı.

Microsoft'a ait yazılım geliştirici platformunun güvenlik ekibi, 19 Mayıs'ta bir saldırganın, bir çalışanın cihazında bulunan "zehirli" bir VS Code uzantısı aracılığıyla 3800 dahili depoya yetkisiz erişim sağladığı konusunda uyardı.

Daha sonra Nx CEO'su Jeff Cross tarafından popüler bir VS Code uzantısı olan Nx Console'un zehirlenmiş uzantı olduğu ve GitHub ihlaline neden olduğu doğrulandı.

Detaylar ve Etkileri

Nx Konsolu, Nx çalışma alanı görevlerini, oluşturucularını ve yapılarını yönetmek ve çalıştırmak için grafiksel bir arayüz sağlar. Nx, monorepos olarak da bilinen büyük kod tabanlarını yönetmeye yönelik bir geliştirme araç setidir.

Sistem Güvenliği

Nx Console, Visual Studio Marketplace'te 2,2 milyon yüklemeye ve doğrulanmış yayıncı rozetine sahip popüler bir uzantıdır.

Önemli Gelişmeler

GitHub'da yayınlanan bir raporda Cross, Vx Console'un kötü amaçlı bir sürümünün (sürüm 18.95.0) 18 Mayıs'ta Visual Studio Marketplace'e ve Visual Studio Code uyumlu editörler için açık kaynaklı bir uzantı kaydı olan Open VSX'e yüklendiğini açıkladı.

Yükleme, meşru bir Nx bakımcısı gibi davranan bir kişi tarafından 12.30 UTC'de tamamlandı.

Nasıl Önlem Alınmalı?

Güvenliği ihlal edilen uzantı, diskteki ve bellekteki birden fazla kaynaktan kimlik bilgilerini toplayan, gizlenmiş bir veri getirdi:

Kasa: ~/.vault-token, /etc/vault/token; Kubernetes ve AWS IAM kimlik doğrulaması

Uzmanların Görüşleri

Npm: .npmrc belirteçleri ve OIDC belirteç değişimi

Sonuç ve Değerlendirme

AWS: IMDS/ECS meta verileri, Secrets Manager, SSM, Web Identity belirteçleri

GitHub: ghp_/gho_/ghs_ belirteçleri, Eylem sırları, işlem belleği

1Password: op CLI kasası içeriği, eğer bir işlem oturumu etkinse

Teknik Analiz

Dosya sistemi: özel anahtarlar, bağlantı dizeleri, GCP/Docker kimlik bilgileri

Soruna CVE-2026-48027 adlı bir güvenlik açığı tanımlayıcısı tahsis edildi.

Gelecekte Ne Bekleniyor?

Cross, kişinin yakın zamanda TanStackn pm paketlerinin tedarik zinciri uzlaşması yoluyla meşru bir Nx geliştiricisinin GitHub kimlik bilgilerini elde etmeyi başardığını açıkladı. Bu, genellikle Mini Shai-Hulud kampanyası olarak bilinen, geliştirici ekosistemlerini etkileyen daha geniş bir tedarik zinciri saldırısının parçasıydı.

TanStack, özellikle durum yönetimi, veri alma, tablolar, yönlendirme ve sanallaştırmaya odaklanan, modern web uygulamaları oluşturmaya yönelik açık kaynaklı geliştirici araçlarından oluşan bir koleksiyondur.

Ayrıca Cross, kötü amaçlı Nx Konsol sürümünün yüklenmesinin diğer Nx yöneticilerinin "manuel onayı olmadan" gerçekleştirildiğini itiraf etti.

"Bunun gelecekte olmasını önlemek için Nx Konsolu yayınlama hattımızı, iki yöneticinin sürümü manuel olarak onaylaması gerekecek şekilde güçlendirdik."

Bir bakımcı birkaç dakika sonra kötü amaçlı sürümü yayından kaldırdı ve Microsoft, yayından kaldırma işlemini 12:48 UTC'de tamamen kaydetti; bu, kötü amaçlı uzantının Visual Studio Marketplace'te yaklaşık 18 dakika boyunca mevcut olduğu anlamına geliyor.

TanStack saldırısı hakkında daha fazlasını okuyun: Grafana Labs, Kod İhlalinin TanStack Saldırısından Kaynaklandığını Söyledi

Nx CEO'su Cross, şirketinin bu olayda yazılımının oynadığı rolün "sorumluluğunu üstlendiğini" söyledi. Tehdidin araştırılmasına ve kontrol altına alınmasına yardımcı olan GitHub ve Microsoft dahil herkese teşekkür etti.

"Bu olay, bizim ve diğer bakımcıların geliştirici araçlarını ve açık kaynak dağıtımını güvence altına alma konusunda nasıl düşünmemiz gerektiği konusunda daha derin, daha temel değişiklikler olması gerektiğini vurguluyor" diye ekledi.

Ayrıca Nx'in "yayınlama, otomasyon ve uzantı güvenliği duruşumuzdaki" değişiklikleri uygulamaya başladığını da söyledi.

"Ayrıca diğer yüksek profilli açık kaynak bakımcılarıyla, yazılım tedarik zinciri güvenliğiyle ilgili daha derin yapısal sorunların bazıları üzerinde nasıl birlikte çalışabileceğimiz konusunda görüşmelere başlıyoruz. Ekosistemin yıllardır altında işlediği varsayımların çoğu artık geçerli değil."

3800 GitHub Dahili Deposu Çalındı

Zaman penceresi kısa görünse de, Nx Konsol uzantısı yüklü ve otomatik güncelleme etkinken VS Code çalıştıran birçok açık kaynak proje katılımcısına virüs bulaştıracak kadar uzundu.

Bu durumda olan herkes, güvenliğinin ihlal edildiğini varsaymalı ve belirteçler, sırlar, SSH anahtarları ve her türlü kimlik bilgisi dahil olmak üzere diskte depolanan tüm kimlik doğrulama anahtarlarını değiştirmelidir.

Saldırgan ayrıca GitHub'un dahili depolarından yaklaşık 3800'ünü çalmayı başardı.

GitHub tehdidi kontrol altına aldı ve 19 Mayıs güncellemesinde kötü amaçlı uzantı sürümünü kaldırdığını, uç noktayı izole ettiğini ve olaya anında müdahale etmeye başladığını açıkladı.

“Kritik sırlar dün ve bir gecede dönüşümlü olarak paylaşıldı GitHub ekledi: "Günlükleri analiz etmeye, gizli rotasyonu doğrulamaya ve takip eden etkinlikleri izlemeye devam ediyoruz." Soruşturma gerektirdiğinde ek önlemler alacağız."

Şirket ayrıca soruşturma tamamlandıktan sonra daha ayrıntılı bir rapor yayınlayacağına söz verdi.

PCP Ekibinin GitHub Reposunu 95.000 Dolara Sattığı İddiası

İhlal, TeamPCP hack grubu tarafından iddia edildi.

Grup, TeamPCP'nin çalınan verileri 95.000 dolara satmak için Lapsus$ tehdit grubuyla ortaklık kurduğunu gösteren bir reklam yayınlamadan önce ilk olarak çalınan veriler için "en az 50.000 dolar" talep etti.

Grup bunun "fidye olmadığını" ve GitHub'tan şantaj yapmakla ilgilenmediklerini belirtti.

Bunun yerine, verileri yalnızca bir alıcıya satacaklarını, "50 binin altıyla ilgilenmediklerini" ve "en iyi teklifin onu alacağını" iddia ettiler. Bir alıcı bulunduğunda çalınan verileri sileceklerini onayladılar ve emekliliklerinin yakın göründüğünü de eklediler.

Ayrıca alıcı bulunamaması durumunda verileri ücretsiz olarak sızdıracakları konusunda da uyardılar.

Resim katkıları: GitHub

Paylaş: