GitHub İhlalinin Perde Arkası: Zehirli Nx Console VS Code Eklentisi 3800 Repoyu Çaldı Yazılım

GitHub İhlalinin Perde Arkası: Zehirli Nx Console VS Code Eklentisi 3800 Repoyu Çaldı

GitHub, 3800 iç deposunun çalınmasına neden olan saldırının zehirli bir Nx Console VS Code eklentisinden kaynaklandığını açıkladı. İşte tüm detaylar.

GitHub, geçtiğimiz günlerde yaşanan büyük çaplı veri ihlalinin perde arkasını aydınlattı. Microsoft bünyesindeki yazılım geliştirme platformu, iç depolarına yetkisiz erişimin, bir çalışanın bilgisayarındaki zehirli bir VS Code eklentisi olan Nx Console aracılığıyla gerçekleştiğini doğruladı. Olay, 19 Mayıs'ta duyuruldu ve 3800'den fazla GitHub deposunun çalındığı belirtildi. Saldırı, yazılım tedarik zincirindeki güvenlik açıklarını bir kez daha gözler önüne serdi.

Nx Console, Nx çalışma alanı görevlerini, jeneratörlerini ve derlemelerini yönetmek için grafiksel bir arayüz sunan popüler bir eklentidir. Visual Studio Marketplace'te 2,2 milyon kuruluma sahip olan eklenti, doğrulanmış yayıncı rozeti taşımasına rağmen saldırganların hedefi oldu. Nx CEO'su Jeff Cross, olayla ilgili yaptığı açıklamada, zehirli sürümün (18.95.0) 18 Mayıs'ta Visual Studio Marketplace ve Open VSX'e yüklendiğini belirtti. Yükleme, meşru bir Nx bakımcısı gibi davranan bir kişi tarafından 12.30 UTC'de gerçekleştirildi.

Zehirli eklenti, kurbanın makinesinden çeşitli kimlik bilgilerini toplamak için gizlenmiş bir yük indiriyordu. Bu bilgiler arasında Vault, Kubernetes ve AWS IAM kimlik doğrulama verileri, npm jetonları, AWS IMDS/ECS meta verileri, GitHub jetonları (ghp_, gho_, ghs_), 1Password parola kasası içerikleri, özel anahtarlar, bağlantı dizeleri ve GCP/Docker kimlik bilgileri yer alıyordu. Saldırıya CVE-2026-48027 güvenlik açığı tanımlayıcısı verildi.

Önemli Gelişmeler

Cross, saldırganın meşru bir Nx geliştiricisinin GitHub kimlik bilgilerini, TanStack npm paketlerine yönelik daha önceki bir tedarik zinciri saldırısı yoluyla ele geçirdiğini açıkladı. Bu saldırı, Mini Shai-Hulud kampanyası olarak bilinen ve geliştirici ekosistemlerini etkileyen daha geniş bir tedarik zinciri saldırısının parçasıydı. TanStack, modern web uygulamaları için durum yönetimi, veri getirme, tablolar, yönlendirme ve sanallaştırma gibi konulara odaklanan bir dizi açık kaynaklı geliştirici aracıdır.

Sonuç ve Değerlendirme

Nx Console'un zehirli sürümünün yüklenmesi, diğer Nx yöneticilerinin manuel onayı olmadan gerçekleşti. Cross, gelecekte bu tür olayların önüne geçmek için yayınlama sürecini iyileştirdiklerini ve artık iki yöneticinin manuel olarak onay vermesi gerektiğini belirtti. Zehirli sürüm, yayınlandıktan birkaç dakika sonra bir bakımcı tarafından kaldırıldı ve Microsoft, 12.48 UTC'de kaldırma işlemini tamamlayarak eklentinin Visual Studio Marketplace'te yaklaşık 18 dakika boyunca erişilebilir kalmasını sağladı.

Sistem Güvenliği

Saldırı, TeamPCP adlı bir bilgisayar korsanlığı grubu tarafından üstlenildi. Grup, çalınan veriler için önce en az 50.000 dolar talep etti, ardından Lapsus$ tehdit grubuyla ortak olduklarını iddia ederek verileri 95.000 dolara satışa çıkardı. Grup, bunun bir fidye olmadığını ve amaçlarının GitHub'ı gasp etmek olmadığını belirtti. Verileri yalnızca bir alıcıya satacaklarını ve en iyi teklifi değerlendireceklerini, alıcı bulunduğunda verileri sileceklerini ve eğer alıcı çıkmazsa verileri ücretsiz olarak sızdıracaklarını duyurdular.

GitHub, tehdidi kontrol altına aldığını ve zehirli eklenti sürümünü kaldırdığını, uç noktayı izole ettiğini ve hemen olay müdahalesine başladığını açıkladı. Kritik sırların, en yüksek etkiye sahip kimlik bilgileri önceliklendirilerek döndürüldüğü belirtildi. Şirket, soruşturma tamamlandığında daha ayrıntılı bir rapor yayınlayacağını vaat etti. Bu olay, geliştirici araçlarının ve açık kaynak dağıtımının güvenliğine yönelik daha derin ve temel değişikliklerin gerekliliğini bir kez daha ortaya koydu.

Kaynak: infosecurity-magazine.com

Paylaş: