Siber Tehdit Aktörleri Yazılım Tedarik Zincirine Saldırıyor: Nx Console ve GitHub Depoları Hedefte Yazılım

Siber Tehdit Aktörleri Yazılım Tedarik Zincirine Saldırıyor: Nx Console ve GitHub Depoları Hedefte

CISA, Nx Console VS Code eklentisi ve GitHub depolarını hedef alan tedarik zinciri saldırılarına karşı acil önlem çağrısı yapıyor.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yazılım tedarik zincirine yönelik son saldırı kampanyalarına karşı acil önlem alınması çağrısında bulundu. Özellikle geliştirici ekosistemlerini ve Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD) boru hatlarını hedef alan bu saldırılar, Nx Console Visual Studio Code (VS Code) eklentisi üzerinden GitHub depolarının ele geçirilmesi ve 'Megalodon' adı verilen tedarik zinciri sızma kampanyasını içeriyor. Tehdit aktörleri, kurumsal, bulut ve DevOps ortamlarını destekleyen araçları ve süreçleri kötüye kullanarak CI/CD boru hatlarına, kod eklentilerine ve iş akışlarına sızıyor.

İlk saldırıda, tehdit aktörleri daha önce ele geçirilen Nx geliştirici sistemlerini kullanarak bir GitHub çalışanının cihazına zehirli bir üçüncü taraf VS Code eklentisi aracılığıyla sızdı. Bu saldırı, yetkisiz erişim ve GitHub depolarının sızdırılmasıyla sonuçlandı. Nx Console'un 18.95.0 sürümü, VS Code'un otomatik güncelleme mekanizması aracılığıyla dağıtıldı; bu da daha önce Nx Console yüklemiş sistemlerin, geliştiricilerin manuel bir işlem yapmasına gerek kalmadan kötü amaçlı sürümü alabileceği anlamına geliyor. GitHub bu aktivite için bir güvenlik danışmanı yayınlarken, CVE-2026-48027 numarası Nx Console'un kötü amaçlı sürümüne atandı ve CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na eklendi.

Ayrıca, 'Megalodon' adlı bir kampanyada, siber tehdit aktörü kamuya açık GitHub depolarında kötü amaçlı GitHub Action iş akışları enjekte ederek CI/CD sırlarını, bulut kimlik bilgilerini ve token'larını topladı; bu durum hem geliştirme hem de dağıtım boru hatlarını etkiledi. CISA, kuruluşları potansiyel bir sızmayı tespit etmek ve düzeltmek için iş akışı dosyalarını ve katkıda bulunan etkinliklerini izlemeye, şüpheli çekme isteklerini ve doğrudan işlemeleri denetlemeye, özellikle otomatik hesaplar (build-bot, auto-ci, ci-bot, pipeline-bot gibi) tarafından yapılan yetkisiz değişiklikleri geri almaya çağırıyor.

Saldırıya uğradığını tespit eden kuruluşlar için CISA, CI/CD günlüklerinin, bulut denetim izlerinin ve etkilenen geliştirici makinelerinin adli incelemesini yapmayı, tüm sırları (API anahtarları, bulut sağlayıcı kimlik bilgileri, SSH anahtarları, Docker/npm/PyPI/Vault/Terraform/Kubernetes token'ları, GitHub/GitLab/Bitbucket token'ları ve geliştirici veya boru hattı sırları dahil) döndürmeyi/iptal etmeyi ve gerekli paydaşları bilgilendirmeyi öneriyor. Ayrıca paket depolarını kullanırken en iyi uygulamalar olarak yeni bir paketi çekmeden en az üç saat beklemeyi, yazılımı belirli güvenilir sürümlere sabitlemeyi ve yalnızca bilinen ve güvenilir kaynaklardan paket çekmeyi tavsiye ediyor.

Paylaş: