GitHub’da Büyük Güvenlik İhlali: 3.800 Dahili Depo Çalındı, Saldırı VS Code Eklentisiyle Gerçekleşti Yazılım

GitHub’da Büyük Güvenlik İhlali: 3.800 Dahili Depo Çalındı, Saldırı VS Code Eklentisiyle Gerçekleşti

Microsoft bünyesindeki GitHub, 3.800 dahili deposunun kötü amaçlı bir VS Code eklentisi aracılığıyla çalındığını doğruladı. TeamPCP grubu, verileri sa

Microsoft’a ait popüler yazılım geliştirme platformu GitHub, 19 Mayıs’ta tespit edilen bir güvenlik ihlalinde 3.800 dahili deposuna yetkisiz erişim sağlandığını doğruladı. Şirket, saldırının bir çalışanın cihazında bulunan ve kötü amaçlı kod içeren bir Visual Studio Code (VS Code) eklentisinden kaynaklandığını açıkladı. VS Code, Microsoft tarafından geliştirilen ücretsiz, açık kaynak kodlu bir kod düzenleyicisi olup, genellikle GitHub Copilot adlı yapay zeka tabanlı kod yardımcısıyla birlikte kullanılıyor. GitHub, saldırıyı kontrol altına aldığını ve kritik sırların döndürüldüğünü belirtti.

İhlali, TeamPCP hacker grubu üstlendi. Grup, Breached siber suç forumunda GitHub kaynak koduna ve yaklaşık 4.000 özel depoya eriştiklerini iddia etti. Çalınan veriler için en az 50.000 dolar talep eden TeamPCP, bunun bir fidye olmadığını, sadece verileri satmak istediklerini ifade etti. Grup, verileri yalnızca bir alıcıya satacaklarını, 50 bin doların altındaki teklifleri dikkate almayacaklarını ve en iyi teklifi kabul edeceklerini duyurdu. Alıcı bulunduğunda verileri sileceklerini, aksi takdirde herkese açık hale getireceklerini belirttiler.

GitHub, saldırıyı doğruladıktan sonra şu açıklamayı yaptı: 'Kötü amaçlı eklenti sürümünü kaldırdık, uç noktayı izole ettik ve hemen olay müdahalesine başladık. Kritik sırlar dün ve bu gece döndürüldü, en yüksek etkiye sahip kimlik bilgilerine öncelik verildi. Günlükleri analiz etmeye, sır döndürme işlemlerini doğrulamaya ve olası takip faaliyetlerini izlemeye devam ediyoruz. Soruşturma ilerledikçe ek önlemler alacağız.' Şirket, soruşturma tamamlandığında daha ayrıntılı bir rapor yayınlayacağını da sözlerine ekledi.

Teknik Analiz

TeamPCP, son dönemde büyük ölçekli yazılım tedarik zinciri saldırılarıyla adından sıkça söz ettiren bir siber tehdit grubu. Grup daha önce Aqua Security’nin Trivy güvenlik açığı tarayıcısı ve Checkmarx’ın KICS altyapı-kod analizörü gibi yaygın kullanılan projeleri GitHub Actions üzerinden hedef almıştı. Ardından Python Package Index (PyPI) üzerinden LiteLLM AI Gateway istemci kütüphanesi ve Telnyx SDK gibi meşru paketlere arka kapı yerleştirerek kampanyalarını genişletti. Ayrıca PyPI’da tip-avı (typosquatting) gibi aldatıcı tekniklerle kimlik bilgisi çalan kötü amaçlı yazılımlar yaydılar.

Uzmanların Görüşleri

Bu saldırılar, bulut kimlik bilgileri, SSH anahtarları, Kubernetes konfigürasyonları ve diğer yazılım geliştirme sırlarını ele geçirmeyi hedefliyor. TeamPCP’nin, ele geçirdiği sırları paraya çevirmek için Lapsus$ ve Vect fidye yazılım grubu gibi aktörlerle ortaklık kurduğu bildiriliyor. Açıklamalara göre, TeamPCP tedarik zinciri bileşenleri aracılığıyla ilk erişimi sağlıyor, Vect şifreleme ve fidyeyi yönetiyor, BreachForums ise geniş bir operatör tabanı sağlıyor.

Bu gelişmeler, yazılım tedarik zinciri güvenliğinin ne kadar kırılgan olduğunu bir kez daha ortaya koyuyor. Geliştiricilerin kullandığı eklentiler ve açık kaynak bileşenler, saldırganlar için cazip hedefler haline gelmiş durumda. GitHub gibi büyük platformların bile bu tür saldırılara maruz kalması, kurumların güvenlik politikalarını gözden geçirmesi gerektiğini gösteriyor. Özellikle VS Code gibi yaygın kullanılan araçlardaki eklenti güvenliği, daha sıkı denetlenmeli ve çalışan cihazlarındaki yazılım envanteri düzenli olarak taranmalıdır.

Kaynak: infosecurity-magazine.com

Paylaş: