ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), geliştirici ekosistemlerini ve CI/CD (Sürekli Entegrasyon/Sürekli Dağıtım) boru hatlarını hedef alan çok sayıda yeni tedarik zinciri saldırısına karşı öncelikli müdahale çağrısı yaptı. Son dönemde yaşanan olaylar arasında, kötü amaçlı bir Nx Console Visual Studio Code (VS Code) eklentisi aracılığıyla GitHub'ın ele geçirilmesi ve 'Megalodon' adı verilen tedarik zinciri saldırı kampanyası yer alıyor. Bu saldırılar, siber tehdit aktörlerinin kurumsal, bulut ve DevOps ortamlarını destekleyen araç ve süreçleri—özellikle CI/CD boru hatları, kod eklentileri ve iş akışlarını—nasıl istismar ettiğini gözler önüne seriyor.
Saldırganlar, daha önce ele geçirilmiş Nx geliştirici sistemlerini kullanarak, zehirli bir üçüncü taraf VS Code eklentisi aracılığıyla bir GitHub çalışanının cihazına sızdı. Bu sayede yetkisiz erişim sağladılar ve iç GitHub depolarından veri sızdırdılar. Kötü amaçlı eklenti sürümü (18.95.0), VS Code'un otomatik güncelleme mekanizması aracılığıyla dağıtıldı. Bu, daha önce Nx Console yüklemiş olan sistemlerin, geliştiricilerin manuel bir kurulum işlemi yapmasına gerek kalmadan kötü amaçlı yapıyı almış olabileceği anlamına geliyor. GitHub bu olayla ilgili bir güvenlik danışmanlığı yayınlarken, CVE-2026-48027 numarası Nx Console'un kötü amaçlı sürümüne atandı ve CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na eklendi.
Ayrıca, 'Megalodon' olarak bilinen bir kampanyada, siber tehdit aktörleri, genel GitHub depolarındaki geliştirme ve dağıtım boru hatlarını etkileyen kötü amaçlı GitHub Action iş akışları enjekte etti. Bu iş akışları, CI/CD sırlarını, bulut kimlik bilgilerini ve token'ları toplamayı hedefliyordu. Bu tür saldırılar, yazılım tedarik zincirinin kritik noktalarına yönelik tehditlerin arttığını ve geliştirici araçlarının güvenliğinin ne kadar önemli olduğunu vurguluyor.
Teknik Analiz
CISA, olası bir ihlali tespit etmek ve düzeltmek için kuruluşlara şu önerilerde bulunuyor: İş akışı dosyalarını ve katkıda bulunan etkinliklerini şüpheli çekme talepleri (pull request) ve doğrudan commit'ler açısından izleyin ve denetleyin; özellikle otomatik hesaplar tarafından yapılanları göz önünde bulundurun. Yetkisiz değişiklikleri geri alın; özellikle build-bot, auto-ci, ci-bot, pipeline-bot gibi otomatik hesaplardan gelenleri ve 18 Mayıs 2026'dan sonra yapılanları dikkate alın. Eğer kuruluşunuz, daha önce ele geçirilmiş GitHub veya Nx Console yazılımından kaynaklanan bir ihlal tespit ederse, CISA şu adımları öneriyor: CI/CD günlükleri, bulut denetim izleri ve etkilenen geliştirici makineleri üzerinde adli inceleme yapın. CI/CD boru hatlarının erişebildiği tüm kimlik bilgilerini, token'ları ve sırları—API anahtarları, bulut sağlayıcı kimlik bilgileri (AWS, GCP, Azure), SSH anahtarları, Docker/npm/PyPI/Vault/Terraform/Kubernetes token'ları, GitHub/GitLab/Bitbucket token'ları ve geliştirici/boru hattı sırları dahil—döndürün/iptal edin. Gerekirse ilgili paydaşları bilgilendirin.
Paket depolarını kullanırken CISA şu en iyi uygulamaları öneriyor: Yeni bir paketi çekmeden önce en az üç saat bekleyin. Bu, yazılım topluluğuna şüpheli veya kötü amaçlı paketleri geniş çapta indirilmeden önce tespit etme süresi tanır. Yazılımı belirli güvenilir sürümlere sabitleyin (pinning). Yazılımı sabitlemek, derleme sürecinde kötü amaçlı veya denetlenmemiş bir paketin çekilmesini önler. Paketleri yalnızca bilinen ve güvenilir kaynaklardan çekin. Bilinen ve güvenilir kaynaklara güvenmek, kötü niyetle çatallanmış bir paketi indirme olasılığını azaltır.
Nasıl Önlem Alınmalı?
Bu saldırılar, yazılım tedarik zinciri güvenliğinin ne kadar kırılgan olduğunu ve geliştirici araçlarının hedef alındığında ne kadar büyük riskler oluşabileceğini gösteriyor. CISA'nın uyarıları ve önerileri doğrultusunda, kuruluşların CI/CD boru hatlarını, kod eklentilerini ve iş akışlarını sürekli olarak denetlemesi, güncellemeleri dikkatle yönetmesi ve en iyi güvenlik uygulamalarını benimsemesi kritik önem taşıyor. Ayrıca, bu tür olaylara karşı hızlı yanıt verebilmek için adli inceleme ve sır yönetimi süreçlerinin önceden hazırlanmış olması gerekiyor.
Kaynak: cisa.gov