ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yazılım tedarik zincirine yönelik artan saldırılara karşı harekete geçti. Son dönemde yaşanan iki büyük olay, siber tehdit aktörlerinin geliştirici araçlarını ve CI/CD (Sürekli Entegrasyon/Sürekli Dağıtım) boru hatlarını nasıl hedef aldığını gözler önüne seriyor. İlk olayda, Nx Console adlı Visual Studio Code (VS Code) eklentisinin kötü amaçlı bir sürümü (18.95.0) otomatik güncelleme mekanizması aracılığıyla dağıtıldı. Bu sayede saldırganlar, bir GitHub çalışanının cihazına sızarak dahili GitHub depolarına yetkisiz erişim sağladı ve veri sızdırdı.
İkinci olayda ise 'Megalodon' adı verilen bir kampanya kapsamında, tehdit aktörleri GitHub Actions iş akışlarına kötü amaçlı kod enjekte ederek CI/CD sırlarını, bulut kimlik bilgilerini ve token'ları çaldı. Bu saldırı, hem geliştirme hem de dağıtım boru hatlarını etkileyerek geniş çaplı bir güvenlik ihlaline yol açtı. CISA, bu tür saldırılara karşı kuruluşların iş akışı dosyalarını ve katkıda bulunan etkinliklerini sürekli izlemesi, özellikle otomatik hesaplar (build-bot, auto-ci gibi) tarafından yapılan yetkisiz değişikliklerin derhal geri alınması gerektiğini vurguluyor.
Eğer bir kuruluş, daha önce ele geçirilmiş GitHub veya Nx Console yazılımı nedeniyle bir ihlal tespit ederse, CISA adli bilişim incelemesi yapılmasını, CI/CD günlüklerinin ve bulut denetim izlerinin kontrol edilmesini öneriyor. Ayrıca, API anahtarları, bulut sağlayıcı kimlik bilgileri (AWS, GCP, Azure), SSH anahtarları, Docker/npm/PyPI token'ları gibi tüm sırların derhal döndürülmesi veya iptal edilmesi gerekiyor. Gerekli paydaşların da durumdan haberdar edilmesi önem taşıyor.
CISA, paket depolarını kullanırken en iyi uygulamalar olarak şunları sıralıyor: Yeni bir paketi indirmeden önce en az üç saat bekleyin, böylece topluluk şüpheli paketleri tespit edebilir. Yazılımı belirli güvenilir sürümlere sabitleyin (pinning) ve yalnızca bilinen güvenilir kaynaklardan paket çekin. Bu önlemler, kötü amaçlı yazılımların yayılmasını engellemeye yardımcı olacaktır. CISA, bu saldırılarla ilgili daha fazla rehberlik için ilgili kaynaklara başvurulmasını öneriyor.