Nx Console ve GitHub Depolarını Hedef Alan Tedarik Zinciri Saldırıları: CISA'dan Kritik Uyarılar Windows

Nx Console ve GitHub Depolarını Hedef Alan Tedarik Zinciri Saldırıları: CISA'dan Kritik Uyarılar

CISA, Nx Console ve GitHub depolarını etkileyen tedarik zinciri saldırılarına karşı acil önlem çağrısı yaptı. Saldırganlar, VS Code eklentisi ve GitHu

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yazılım tedarik zincirine yönelik iki büyük saldırı kampanyasına karşı acil önlem alınması çağrısında bulundu. Bu saldırılardan ilki, Nx Console adlı Visual Studio Code (VS Code) eklentisinin kötü amaçlı bir sürümü (18.95.0) aracılığıyla GitHub çalışanlarının cihazlarına sızılması ve iç GitHub depolarına yetkisiz erişim sağlanması. İkincisi ise 'Megalodon' adı verilen kampanyada, kötü niyetli GitHub Actions iş akışları kullanılarak CI/CD sırlarının, bulut kimlik bilgilerinin ve token'larının çalınması. CISA, bu saldırıların geliştirici ekosistemlerini ve CI/CD boru hatlarını hedef aldığını vurguluyor.

Nx Console saldırısında, tehdit aktörleri daha önce ele geçirdikleri Nx geliştirici sistemlerini kullanarak bir GitHub çalışanının cihazına zehirli bir VS Code eklentisi bulaştırdı. Kötü amaçlı eklenti sürümü, VS Code'un otomatik güncelleme mekanizması aracılığıyla dağıtıldı. Bu, Nx Console'u daha önce yüklemiş olan geliştiricilerin herhangi bir manuel işlem yapmasına gerek kalmadan kötü amaçlı yapıyı alabilecekleri anlamına geliyor. GitHub, bu faaliyetle ilgili bir güvenlik bülteni yayınladı ve CVE-2026-48027 numarasıyla kötü amaçlı Nx Console sürümüne atama yaparak CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi.

CISA, kuruluşların potansiyel bir ihlali tespit etmek ve düzeltmek için belirli adımlar atmasını öneriyor. İlk olarak, iş akışı dosyalarının ve katkıda bulunanların etkinliklerinin şüpheli pull request'ler ve doğrudan commit'ler açısından izlenmesi ve denetlenmesi gerekiyor. Özellikle build-bot, auto-ci, ci-bot, pipeline-bot gibi otomatik hesaplar tarafından yapılan ve 18 Mayıs 2026'dan sonra gerçekleştirilen yetkisiz değişikliklerin geri alınması önem taşıyor. Ayrıca, bir ihlal tespit edilmesi durumunda CI/CD günlükleri, bulut denetim izleri ve etkilenen geliştirici makinelerinde adli inceleme yapılması; API anahtarları, bulut sağlayıcı kimlik bilgileri, SSH anahtarları, Docker/npm/PyPI/Vault/Terraform/Kubernetes token'ları, GitHub/GitLab/Bitbucket token'ları gibi tüm sırların döndürülmesi/iptal edilmesi ve gerekiyorsa ilgili paydaşların bilgilendirilmesi öneriliyor.

Gelecekte Ne Bekleniyor?

CISA, paket depolarını kullanırken en iyi uygulama olarak, yeni bir paketi çekmeden önce en az üç saat beklenmesini tavsiye ediyor. Bu süre, yazılım topluluğunun şüpheli veya kötü amaçlı paketleri yaygın olarak indirilmeden önce tespit etmesine olanak tanıyor. Ayrıca, yazılımların belirli güvenilir sürümlere sabitlenmesi (pinning) ve yalnızca bilinen ve güvenilir kaynaklardan paket çekilmesi öneriliyor. Bu önlemler, kötü amaçlı veya denetlenmemiş bir paketin derleme sürecine dahil edilme olasılığını azaltıyor. CISA, bu ihlallerle ilgili ek rehberlik için belirtilen kaynakların incelenmesini öneriyor.

Paylaş: