Microsoft çatısı altındaki yazılım geliştirme platformu GitHub, bir üçüncü tarafın 3800 dahili deposuna yetkisiz erişim sağladığını doğruladı. İhlal 19 Mayıs'ta tespit edilirken, GitHub güvenlik ekibinin bir çalışan cihazında bulduğu 'zehirli' bir Visual Studio Code (VS Code) eklentisinden kaynaklandığı belirtildi. VS Code, Microsoft tarafından geliştirilen ücretsiz, açık kaynaklı bir kod düzenleyici olup yapay zeka kodlama asistanı GitHub Copilot ile sıkça kullanılıyor.
İhlali TeamPCP adlı hacker grubu üstlendi. Breached siber suç forumunda yapılan açıklamada grup, GitHub kaynak koduna ve yaklaşık 4000 özel depoya eriştiklerini iddia etti. TeamPCP, çalınan veriler için en az 50 bin dolar talep ediyor. Ancak tehdit grubu, bunun bir 'fidye' olmadığını ve GitHub'ı gasp etmekle ilgilenmediklerini belirtti. Verileri yalnızca tek bir alıcıya satacaklarını, 50 bin doların altındaki tekliflerle ilgilenmediklerini ve en iyi teklifi verenin verileri alacağını söylediler.
Grup, alıcı bulunduğunda çalınan verileri sileceklerini ve emekliliklerinin yakın olduğunu ekledi. Ayrıca alıcı bulunamazsa verileri ücretsiz olarak sızdıracakları uyarısında bulundular. GitHub, ihlali doğruladıktan sonra artık 'kontrol altına alındığını' açıkladı. 'Kötü amaçlı eklenti sürümünü kaldırdık, uç noktayı izole ettik ve hemen olay müdahalesi başlattık. Kritik sırlar dün ve bu gece, en yüksek etkili kimlik bilgilerine öncelik verilerek değiştirildi' dedi GitHub.
Sistem Güvenliği
Şirket, günlükleri analiz etmeye, sır rotasyonunu doğrulamaya ve olası takip faaliyetlerini izlemeye devam ediyor. Soruşturma tamamlandığında daha detaylı bir rapor yayınlayacaklarını taahhüt ettiler. TeamPCP grubu, açık kaynak ekosistemlerine ve güvenlik araçlarına yönelik büyük ölçekli yazılım tedarik zinciri saldırılarıyla kısa sürede adını duyurdu. Aqua Security'nin Trivy güvenlik açığı tarayıcısı ve Checkmarx'in KICS altyapı-kod analizörü gibi yaygın kullanılan projeleri GitHub Actions ve diğer yazılım geliştirme bileşenlerine yapılan saldırılarla defalarca ele geçirdiler.
Ayrıca Python Package Index (PyPI) üzerinden LiteLLM AI Gateway istemci kütüphanesi ve Telnyx'in resmi SDK'sı gibi meşru paketleri arka kapılı sürümler yayınlayarak doğrudan tehlikeye attılar. Bunun yanı sıra PyPI'da yazım benzerliği gibi aldatıcı teknikler kullanarak kimlik bilgisi çalan kötü amaçlı yazılımları alt kullanıcılara ittiler. Bu saldırılar, bulut kimlik bilgileri, SSH anahtarları, Kubernetes yapılandırmaları ve diğer yazılım geliştirme sırlarını toplamayı hedefliyor.
Uzmanların Görüşleri
TeamPCP, bu kampanyalardan elde edilen sırları paraya çevirmenin yeni yollarını araştırırken Lapsus$ ve Vect fidye yazılım grubu gibi gasp ve fidye aktörleriyle açık ortaklıklar kurdu. Bu gruplara atfedilen kamuya açık ifadeler, TeamPCP'nin tehlikeye atılmış tedarik zinciri bileşenleri aracılığıyla ilk erişimi sağladığı, Vect'in şifreleme ve gasptan sorumlu olduğu ve BreachForums'un geniş bir operatör tabanı sağladığı bir operasyonel modeli tanımlıyor. Aynı zamanda 'PCPJack' adlı ayrı bir tehdit çerçevesi, tehlikeye atılmış ortamlardan TeamPCP yapıtlarını arayıp kaldırarak yanal hareketle ek bulut kimlik bilgileri çalıyor; bu, TeamPCP'nin katalize ettiği bulut odaklı siber suçun ölçeğini ve rekabetçiliğini gözler önüne seriyor.
Kaynak: infosecurity-magazine.com