GitHub'dan Büyük İhlal: 3800 Depo Çalındı, Tehdit Grubu 50 Bin Dolar İstiyor Yazılım

GitHub'dan Büyük İhlal: 3800 Depo Çalındı, Tehdit Grubu 50 Bin Dolar İstiyor

GitHub, kötü amaçlı bir VS Code eklentisi vasıtasıyla 3800 dahili deposunun çalındığını doğruladı. TeamPCP grubu veriler için 50 bin dolar istiyor.

Microsoft'a ait yazılım geliştirme platformu GitHub, 19 Mayıs'ta tespit edilen bir siber saldırı sonucu 3800 dahili deposuna yetkisiz erişim sağlandığını doğruladı. Şirket, saldırının bir çalışanın cihazında bulunan 'zehirli' bir Visual Studio Code (VS Code) eklentisinden kaynaklandığını açıkladı. VS Code, Microsoft tarafından geliştirilen ücretsiz ve açık kaynak bir kod editörü olup, genellikle yapay zeka destekli kodlama asistanı GitHub Copilot ile birlikte kullanılıyor.

Saldırıyı üstlenen TeamPCP adlı hacker grubu, Breached siber suç forumunda GitHub kaynak kodlarına ve yaklaşık 4000 özel depoya eriştiklerini iddia etti. Grup, çalınan veriler için en az 50 bin dolar talep ederken, bunun bir fidye olmadığını ve GitHub'ı gasp etmekle ilgilenmediklerini belirtti. Sadece bir alıcıya satış yapacaklarını ve en iyi teklifi kabul edeceklerini ifade eden grup, alıcı bulunduğunda verileri sileceklerini ve emekli olmayı planladıklarını söyledi. Alıcı bulunamazsa verileri ücretsiz olarak sızdıracakları uyarısında bulundular.

GitHub, ihlali doğruladıktan sonra durumu kontrol altına aldığını açıkladı. Kötü amaçlı eklenti sürümünü kaldırdıklarını, uç noktayı izole ettiklerini ve anında olay müdahalesi başlattıklarını belirten şirket, kritik sırların döndürüldüğünü ve en yüksek etkiye sahip kimlik bilgilerine öncelik verildiğini duyurdu. GitHub, logları analiz etmeye, sır döndürme işlemlerini doğrulamaya ve olası takip faaliyetlerini izlemeye devam ettiklerini, soruşturma tamamlandığında daha detaylı bir rapor yayınlayacaklarını söyledi.

Teknik Analiz

TeamPCP, açık kaynak ekosistemlerine yönelik büyük çaplı tedarik zinciri saldırılarıyla tanınan bir siber tehdit grubudur. Daha önce Aqua Security'nin Trivy güvenlik tarayıcısı ve Checkmarx'in KICS altyapı-kod analizörü gibi yaygın projeleri hedef almış, GitHub Actions ve PyPI üzerinden backdoor'lu sürümler yayınlamıştır. Grup, bulut kimlik bilgileri, SSH anahtarları ve Kubernetes konfigürasyonları gibi hassas bilgileri çalmayı amaçlamakta ve Lapsus$ ile Vect fidye yazılım grubu gibi aktörlerle ortaklık kurarak gasp faaliyetlerini genişletmektedir. Bu saldırılar, açık kaynak projelerine olan güveni zedelerken, siber güvenlik uzmanlarını daha dikkatli olmaya itiyor.

Paylaş: