GitHub, yakın zamanda dahili depolarına yönelik bir siber saldırıyı doğruladı. Microsoft'a ait bu yazılım geliştirici platformunun güvenlik ekibi, saldırının bir çalışanın cihazında bulunan 'Nx Console' adlı Visual Studio Code (VS Code) eklentisinin zehirli bir sürümü aracılığıyla gerçekleştiğini duyurdu. 19 Mayıs tarihli uyarıda, saldırganın 3800 dahili depoya yetkisiz erişim sağladığı belirtildi.
Nx Console, Nx monorepo yönetim aracı için grafiksel bir arayüz sunan popüler bir eklentidir. Visual Studio Marketplace'te 2.2 milyon kuruluma sahip olan eklenti, doğrulanmış bir yayıncı rozetine sahipti. Nx'in CEO'su Jeff Cross, yayınladığı raporda, 18 Mayıs'ta Visual Studio Marketplace ve Open VSX'e Nx Console'un 18.95.0 sürümünün kötü niyetli bir versiyonunun yüklendiğini açıkladı. Yükleme, meşru bir Nx bakıcısı gibi davranan bir kişi tarafından gerçekleştirildi.
Zehirli eklenti, diskte ve bellekte birden fazla kaynaktan kimlik bilgilerini toplayan gizlenmiş bir yük çalıştırıyordu. Hedeflenen kaynaklar arasında Vault, npm, AWS, GitHub, 1Password ve dosya sistemi yer alıyordu. Özellikle, GitHub token'ları, Actions sırları ve süreç belleği gibi hassas bilgiler ele geçirildi. Bu güvenlik açığına CVE-2026-48027 tanımlayıcısı atandı.
Cross, saldırganın bir Nx geliştiricisinin GitHub kimlik bilgilerini, TanStack npm paketlerine yönelik bir tedarik zinciri saldırısı yoluyla elde ettiğini belirtti. Bu saldırı, Mini Shai-Hulud kampanyası olarak bilinen daha geniş bir tedarik zinciri saldırısının parçasıydı. Ayrıca, zehirli sürümün diğer Nx yöneticilerinin 'manuel onayı olmadan' yüklendiği itiraf edildi. Cross, gelecekte bu tür olayları önlemek için yayınlama sürecine iki yöneticinin manuel onayı gerektirecek şekilde iyileştirdiklerini söyledi.
Kötü niyetli sürüm, yüklenmesinden birkaç dakika sonra bir bakıcı tarafından yayından kaldırıldı ve Microsoft, 12:48 UTC'de tamamen kaldırma işlemini gerçekleştirdi. Bu, eklentinin yaklaşık 18 dakika boyunca Visual Studio Marketplace'te erişilebilir olduğu anlamına geliyor. Ancak bu kısa süre, Nx Console yüklü ve otomatik güncelleme etkin olan birçok açık kaynak proje katılımcısını etkilemek için yeterliydi. GitHub, bu durumdaki herkesin kimlik bilgilerini döndürmesi gerektiğini belirtti.
Saldırganlar, GitHub'ın yaklaşık 3800 dahili deposunu çalmayı başardı. GitHub, tehdidi kontrol altına aldı ve kritik sırların döndürüldüğünü, günlüklerin analiz edildiğini ve soruşturmanın devam ettiğini duyurdu. Saldırıyı TeamPCP hacker grubu üstlendi. Grup, önce 50.000 dolar talep etti, ardından Lapsus$ grubuyla ortaklaşa verileri 95.000 dolara satışa çıkardı. Grup, 'fidye değil' dedikleri satışta, verileri yalnızca bir alıcıya satacaklarını ve alıcı bulunamazsa sızdıracaklarını belirtti.
Nx CEO'su Jeff Cross, olayda yazılımlarının oynadığı rolü kabul ederek sorumluluk aldı. 'Bu olay, geliştirici araçlarının ve açık kaynak dağıtımının güvenliğini sağlamak için daha derin, daha temel değişikliklere ihtiyaç olduğunu vurguluyor' dedi. Nx, yayınlama, otomasyon ve eklenti güvenliği konularında değişiklikler yapmaya başladı. Ayrıca, yazılım tedarik zinciri güvenliği konusunda diğer yüksek profilli açık kaynak bakıcılarıyla işbirliği yapacaklarını belirtti.
Kaynak: infosecurity-magazine.com