Tedarik Zinciri, Impact Nx Konsolu ve GitHub Depolarından Ödün Veriyor Yazılım

Tedarik Zinciri, Impact Nx Konsolu ve GitHub Depolarından Ödün Veriyor

CISA, geliştirici ekosistemlerinin Sürekli Entegrasyon/Sürekli Geliştirme (CI/CD) hatlarını hedef alan çok sayıda yeni ortaya çıkan yazılım tedarik zi...

CISA, geliştirici ekosistemlerinin Sürekli Entegrasyon/Sürekli Geliştirme (CI/CD) hatlarını hedef alan çok sayıda yeni ortaya çıkan yazılım tedarik zincirine izinsiz giriş kampanyasına yanıt vermeye öncelik veriyor. Kötü niyetli bir Nx Konsol Visual Studio Code (VS Code) uzantısı aracılığıyla GitHub'un ele geçirilmesi ve "Megalodon" tedarik zincirine izinsiz giriş kampanyası da dahil olmak üzere bu son olaylar, siber tehdit aktörlerinin kurumsal, bulut ve DevOps ortamlarını destekleyen araç ve süreçleri (özellikle CI/CD işlem hatları, kod uzantıları ve iş akışları) nasıl kötüye kullandığını gösteriyor.

Tehdit aktörleri, zehirli bir üçüncü taraf VS Code uzantısı aracılığıyla bir GitHub çalışanının cihazını tehlikeye atmak için Nx geliştirici sistemlerinin önceden ele geçirilmesinden yararlandı; bu da dahili GitHub depolarına yetkisiz erişime ve bunların sızmasına neden oldu. Kötü amaçlı uzantı sürümü (18.95.0), VS Code'un otomatik güncelleme mekanizması aracılığıyla dağıtıldı; bu, daha önce Nx Console'un yüklendiği sistemlerin, geliştiricilerin herhangi bir manuel kurulum eylemi gerçekleştirmeden kötü amaçlı yapıyı almış olabileceği anlamına geliyor. GitHub bu etkinlikle ilgili bir güvenlik tavsiyesi yayınladı ve CVE-2026-48027, Nx Console'un kötü amaçlı sürümüne atandı ve CISA'nın Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) Kataloğuna eklendi.

Ek olarak, "Megalodon" olarak bilinen bir kampanyada bir siber tehdit aktörü, CI/CD sırlarını, bulut kimlik bilgilerini ve belirteçleri toplamak için kötü niyetli GitHub Action iş akışlarını enjekte ederek halka açık GitHub depolarındaki hem geliştirme hem de dağıtım hatlarını etkiledi.

Teknik Analiz

CISA, kuruluşları potansiyel bir uzlaşmayı tespit etmek ve düzeltmek için aşağıdaki önerileri uygulamaya teşvik eder:

Şüpheli çekme istekleri ve doğrudan taahhütler (özellikle otomatik hesaplar tarafından yazılanlar) açısından iş akışı dosyalarını ve katkıda bulunanların etkinliklerini izleyin ve denetleyin.

Gelecekte Ne Bekleniyor?

Build-bot , auto-ci , ci-bot , Pipeline-bot gibi özellikle otomatik hesaplardan ve özellikle 18 Mayıs 2026'dan sonra yapılan yetkisiz değişiklikleri geri alın.

Kuruluşunuz daha önce güvenliği ihlal edilmiş GitHub veya Nx Console yazılımından kaynaklanan bir güvenlik ihlali tespit ederse CISA aşağıdaki adımları önerir:

Detaylar ve Etkileri

CI/CD günlükleri, bulut denetim izleri ve etkilenen geliştirici makineleri için adli tıp incelemesi gerçekleştirin.

API anahtarları, bulut sağlayıcı kimlik bilgileri (Amazon Web Hizmetleri, Google Cloud Platform, Microsoft Azure), SSH anahtarları, Docker/npm/PyPI/Vault/Terraform/Kubernetes belirteçleri, GitHub/GitLab/Bitbucket belirteçleri ve geliştirici veya ardışık düzen sırları dahil olmak üzere CI/CD işlem hatları tarafından erişilebilen tüm kimlik bilgileri, belirteçler ve sırlar dahil olmak üzere tüm gizli dizileri döndürün/iptal edin.

Sistem Güvenliği

Gerekirse uygun paydaşları bilgilendirin.

Sonuç ve Değerlendirme

CISA, paket depolarını kullanmak için aşağıdaki en iyi uygulamaları önerir:

Uzmanların Görüşleri

Yeni bir paketi çekmeden önce en az üç saat bekleyin. Bu, yazılım topluluğuna şüpheli veya kötü amaçlı paketleri geniş çapta indirilmeden önce tanımlaması için zaman tanır.

Yazılımı belirli güvenilir sürümlere sabitleyin. Yazılımı sabitlemek, oluşturma işlemi sırasında kötü amaçlı veya filtrelenmemiş bir paketin çekilmesini önler.

Önemli Gelişmeler

Paketleri yalnızca bilinen ve güvenilir kaynaklardan çekin. Bilinen ve güvenilir kaynaklara güvenmek, kötü niyetli olarak çatallanmış bir paketin indirilme olasılığını azaltır.

Bu uzlaşmalara ilişkin ek rehberlik için aşağıdaki kaynaklara bakın:

Sorumluluk reddi beyanı

Nasıl Önlem Alınmalı?

Bu rapordaki bilgiler yalnızca bilgilendirme amaçlı olarak “olduğu gibi” sağlanmaktadır. CISA, bu belgede bağlantılı kuruluşlar, ürünler veya hizmetler dahil olmak üzere hiçbir ticari varlığı, ürünü, şirketi veya hizmeti onaylamaz. Hizmet markası, ticari marka, üretici veya başka bir şekilde belirli ticari varlıklara, ürünlere, süreçlere veya hizmetlere yapılan herhangi bir atıf, CISA tarafından onaylandığı, tavsiye edildiği veya tercih edildiği anlamına gelmez veya ima edilmez.

Paylaş: