GitHub, yazılım geliştirme sürecinin merkezinde yer alırken, siber saldırganlar da bu platformu hedef almayı sürdürüyor. Datadog Security Labs, GitHub API'sini kullanarak kurumsal organizasyonları, depoları ve kullanıcı hesaplarını sistematik olarak tarayan 'birbiriyle örtüşen birkaç kampanya' tespit etti. Bu kampanyalar, otomatik tarama araçları ve yıllardır kullanılmayan 'hayalet' hesaplarla gerçekleştiriliyor.
Datadog kıdemli güvenlik mühendisi Julie Agnes Sparks'a göre, operatörler özel veya meşru görünen kullanıcı aracılarıyla otomatik tarama araçları kullanıyor. Bunun yanı sıra, genellikle yıllar önce oluşturulmuş GitHub 'hayalet' hesapları veya meşru kullanıcılardan ele geçirilmiş OAuth token'ları ve kişisel erişim token'ları (PAT) kullanılıyor. Çoğu durumda bu faaliyetler yalnızca herkese açık verileri hedeflese de, bazı örneklerde özel depoların klonlanmasına kadar gidildi.
Kampanyada 50'den fazla hareketsiz hesap ve düzinelerce meşru hesabın açığa çıkmış veya ele geçirilmiş PAT'leri kullanılıyor. 'Hayalet' hesapların en dikkat çekici özelliği, iki ila beş yıl önce oluşturulup uzun süre hareketsiz bırakıldıktan sonra silah haline getirilmesi. Bu strateji, yeni hesaplar oluşturup hemen tarama yapmaktan farklı olarak, şüphe uyandırmamayı ve faaliyeti meşru gibi göstermeyi amaçlıyor.
Uzmanların Görüşleri
GitHub API'sinin büyük bir kısmına kimlik doğrulama olmadan erişilebildiği için, tarama sorguları normal API kullanımına karışarak gerekli verileri döndürebiliyor. Bu sorgular arasında bir organizasyonun herkese açık depolarını listeleme, bir kullanıcının takipçi ve takip listelerini tarama, gist'leri, yıldızlanmış depoları ve organizasyon üyeliklerini sayma ile genel nesnelere karşı GraphQL sorguları çalıştırma yer alıyor. Toplanan bu bilgiler, bir tehdit aktörünün keşif yapmasını ve bir organizasyonun GitHub ile ilgili faaliyetlerini programlı olarak haritalandırmasını sağlıyor.
Bazı durumlarda, saldırganlar özel bir depoyu klonlayarak veri erişimi sağladı. Datadog, 'Bu isteklerin çoğu tek başına sıradan. Herkese açık uç noktalara erişiyor, temiz bir şekilde kimlik doğruluyor veya hiç yapmıyor ve başarılı yanıtlar döndürüyor. Endişe, toplamda yatıyor: bir grup hesabın şirketlerin GitHub organizasyonlarında eşzamanlı hareket etmesi, özelleştirilmiş araçlarla haftalarca sürmesi ve en kötü durumda, taramayı bırakıp klonlamaya başlaması' uyarısında bulundu.
Bu tür saldırılara karşı korunmak için kuruluşların, GitHub hesaplarının etkinliğini izlemesi, özellikle eski ve hareketsiz hesaplardan gelen API isteklerine dikkat etmesi, PAT'lerin düzenli olarak rotasyonunu yapması ve OAuth uygulamalarını denetlemesi önem taşıyor. Ayrıca, özel depolara erişim için en az ayrıcalık prensibi uygulanmalı ve şüpheli etkinlikler için güvenlik ekiplerine anlık uyarılar gönderilmelidir.
Kaynak: thehackernews.com