GitHub'da 200'den Fazla Depo ile Yürütülen Büyük Kötü Amaçlı Yazılım Kampanyası Windows

GitHub'da 200'den Fazla Depo ile Yürütülen Büyük Kötü Amaçlı Yazılım Kampanyası

200'den fazla GitHub deposu kullanılarak Windows malware dağıtan bir kampanya keşfedildi. Sahte DNS tarama aracıyla bulaşma zinciri başlatılıyor.

Siber güvenlik firması Socket, tehdit aktörlerinin 200'den fazla GitHub deposundan oluşan bir ağ üzerinden Windows kötü amaçlı yazılımları dağıttığını tespit etti. 'Operation Muck and Load' (Muck ve Yükle Operasyonu) adı verilen kampanya, 190 hesap üzerinde 222 yem deposu içeriyor. Bu depolarda, bulaşma zincirini tetiklemek için özel olarak tasarlanmış bir Go modülü bulunuyor.

Socket'in analizine göre, Go modülü PowerShell kodunu yükleyerek çalıştırıyor. Bu kod, halka açık 'dead drop' (ölü posta kutusu) konumlarından bir çözümleyici (resolver) alıyor ve ardından casus yazılım, truva indiricileri, bilgi çalıcılar (infostealer) ve kripto madencileri gibi Windows malware'lerini çalıştırıyor.

Kullanıcıları kandırmak için Go modülü, meşru dnsub açık kaynak projesi etrafında inşa edilmiş bir DNS/alt alan adı tarama aracı gibi görünüyor. Tehdit aktörü, 24 Ocak 2026'dan bu yana paketin 1.200'den fazla sürümünü yayınladı ve bunlardan 700'ü kötü amaçlı. Socket, bu durumun normal bir sürüm mühendisliği sürecinden değil, tehdit aktörünün GitHub Actions iş akışından kaynaklandığını belirtiyor.

Gelecekte Ne Bekleniyor?

Modül, tarama mantığı çalıştırılmadan önce devreye giren bir PowerShell komutu içeriyor ve bu komut aşırı yatay boşluk kullanılarak gizleniyor. PowerShell betiği, komut dosyası yürütme politikası kısıtlamalarını aşacak şekilde çalıştırılıyor. Betik, halka açık dead drop konumlarından çözümleyici, indirici, ayıklayıcı ve başlatıcı olarak işlev gören bir yük alıyor.

Operation Muck and Load kampanyasının arkasındaki tehdit aktörü, tek bir sabit kodlu yük URL'si kullanmak yerine, şifrelenmiş çözümleyici materyalini barındırmak için Pastebin, Rlim, Muck temalı altyapı ve YouTube, Instagram, Telegram, Google Docs, GitCode gibi platformlardaki yedek konumlar dahil olmak üzere birden fazla genel platform kullanıyor. Bu, operasyonel dayanıklılığı artırıyor.

Yürütme zincirinin sonunda dağıtılan yükler arasında AsyncRAT, Quasar RAT, Remcos tarzı bir RAT, bilgi çalıcılar ve casus yazılımlar yer alıyor. Ayrıca, kampanyayla ilişkili depoların çoğu yem olarak işlev görse de, bazıları kaynak ağaçlarına gömülü veya GitHub release varlıkları aracılığıyla doğrudan malware dağıtıyor.

Socket, analiz edilen tehdit aktörü iş akışı depolarında en az 14 benzersiz doğrulanmış malware dosyası tespit etti. Doğrulanan yük seti arasında truva yükleyicileri ve indiricileri, Vidar bilgi çalıcı, dropper/casus yazılım yükleri ve XMRig/BitMiner ile ilişkili Monero kripto madencileri bulunuyor.

Önemli Gelişmeler

Socket, Operation Muck and Load kampanyasının, daha önce 'ischhfd83' e-posta adresiyle ilişkilendirilen ve Muck temalı alan adlarını içeren faaliyetlerle örtüştüğünü belirtiyor. Bu durum, tehdit aktörünün aynı kişi veya grup olabileceğini gösteriyor. Güvenlik uzmanları, GitHub kullanıcılarını ve açık kaynak tedarik zincirini korumak için depo incelemelerini ve güvenlik araçlarını kullanmalarını öneriyor.

Kaynak: securityweek.com

Paylaş: