Microsoft'un sahibi olduğu yazılım geliştirici platformu GitHub, üçüncü bir tarafın 3800 dahili depoya yetkisiz erişim sağladığını doğruladı.
GitHub sosyal medyada, ihlalin 19 Mayıs'ta tespit edildiğini ve muhtemelen GitHub güvenlik ekibi tarafından bir çalışanın cihazında bulunan "zehirli" bir Visual Studio Code (VS Code) uzantısından kaynaklandığını doğruladı.
VS Code, Microsoft tarafından geliştirilen ücretsiz, açık kaynaklı bir kod düzenleyicisidir. Genellikle bir AI kodlama asistanı olan GitHub Copilot ile birlikte kullanılır.
Teknik Analiz
İhlal, TeamPCP hack grubu tarafından iddia edildi. Breached siber suç forumunda paylaşım yapan grup, GitHub kaynak koduna ve Breached siber suç forumunda "~4000 özel kod deposuna" erişim elde ettiklerini iddia etti. TeamPCP çalınan veriler için en az 50.000 dolar talep ediyor.
Ancak tehdit grubu bunun "fidye olmadığını" ve GitHub'tan şantaj yapmakla ilgilenmediklerini belirtti.
Verileri yalnızca bir alıcıya satacaklarını, "50 binin altıyla ilgilenmediklerini" ve "en iyi teklifin onu alacağını" iddia ettiler. Bir alıcı bulunduğunda çalınan verileri sileceklerini onayladılar ve emekliliklerinin yakın göründüğünü de eklediler.
Ayrıca alıcı bulunamaması durumunda verileri ücretsiz olarak sızdıracakları konusunda da uyardılar.
Nasıl Önlem Alınmalı?
İhlalin doğrulanmasının ardından Github, artık ihlali "kontrol altına aldığını" söyledi.
GitHub, "Kötü amaçlı uzantı sürümünü kaldırdık, uç noktayı izole ettik ve olaya hemen müdahale etmeye başladık. Kritik sırlar, en yüksek etkili kimlik bilgilerine öncelik verilerek dün ve gece boyunca dönüşümlü olarak değiştirildi" dedi.
"Günlükleri analiz etmeye, gizli rotasyonu doğrulamaya ve takip eden faaliyetleri izlemeye devam ediyoruz. Soruşturmanın gerektirdiği ek önlemleri alacağız."
Detaylar ve Etkileri
Şirket ayrıca soruşturma tamamlandıktan sonra daha ayrıntılı bir rapor yayınlayacağına söz verdi.
Önemli Gelişmeler
TeamPCP: Açık Kaynak Projeleri Yoluyla Siber Gasp
TeamPCP, özellikle açık kaynaklı ekosistemlere ve bitişik güvenliğe yönelik araçlara yönelik büyük ölçekli yazılım tedarik zinciri saldırılarıyla hızla ün kazanan bir siber tehdit grubudur.
Sonuç ve Değerlendirme
Grup, GitHub Actions ve diğer yazılım geliştirme bileşenlerine yapılan saldırılar yoluyla Aqua Security'nin Trivy güvenlik açığı tarayıcısı ve Checkmarx'ın KICS kod olarak altyapı analizörü gibi yaygın olarak kullanılan projeleri defalarca tehlikeye attı.
Daha sonra kampanyayı Python Paket Dizinine (PyPI) kadar genişlettiler ve arka kapılı sürümler yayınlayarak LiteLLM AI Gateway istemci kütüphanesi ve Telnyx'in resmi SDK'sı da dahil olmak üzere meşru paketlerin güvenliğini doğrudan tehlikeye attılar.
Sistem Güvenliği
Bu doğrudan uzlaşmaların ötesinde, kimlik bilgileri çalan kötü amaçlı yazılımları alt kullanıcılara yönlendirmek için diğer aldatıcı tekniklerin yanı sıra PyPI yazım hatasını da kullandılar.
Gelecekte Ne Bekleniyor?
Bu saldırılar, birçok kuruluştan bulut kimlik bilgileri, SSH anahtarları, Kubernetes yapılandırmaları ve diğer yazılım geliştirme sırları gibi hassas bilgileri toplamak için tasarlanmıştır.
Uzmanların Görüşleri
TeamPCP'nin ayrıca bu kampanyalar aracılığıyla elde edilen sırlardan daha fazla para kazanmanın yollarını araştırmaya başladığı ve Lapsus$ ve Vect fidye yazılımı grubu da dahil olmak üzere gasp ve fidye yazılımı aktörleriyle açık ortaklıklar kurduğu bildiriliyor.
Bu gruplara atfedilen kamu açıklamaları, TeamPCP'nin tehlikeye atılmış tedarik zinciri bileşenleri aracılığıyla ilk erişimi sağladığı, Vect'in ise şifreleme ve gasp işlemlerini üstlendiği ve BreachForums'un geniş bir operatör tabanı sağladığı operasyonel bir modeli tanımlamaktadır.
Aynı zamanda, TeamPCP'nin katalize etmesine yardımcı olduğu bulut odaklı siber suçların ölçeğini ve rekabetçiliğini vurgulayarak, ek bulut kimlik bilgilerini çalmak için yanal olarak yayılmadan önce, TeamPCP eserlerini özel olarak arayıp tehlikeye atılmış ortamlardan kaldıran 'PCPJack' adlı ayrı bir tehdit çerçevesi ortaya çıktı.