Araştırmacılar, bir siber suç forumunda dağıtılan, GitHub kullanıcılarını hedef alan bir araç ortaya çıkardı. Toplu geliştirici kimlik bilgileri hırsızlığı ve aşağıdakiler de dahil olmak üzere daha fazla kötü amaçlı etkinlik gerçekleştirme yeteneği sunar: tedarik zinciri saldırıları.
Araç – GoIssue olarak adlandırılıyor ve potansiyel olarak önceki bir uygulamayla bağlantılı GitHub depo gaspı kampanyası Gitloker denir SlashNext araştırmacıları, potansiyel saldırganların GitHub profillerinden e-posta adresleri almasına ve toplu e-postaları doğrudan kullanıcıların gelen kutularına göndermesine olanak tanıdığını keşfetti.
“Araç özünde, otomatikleştirilmiş süreçleri kullanarak genel GitHub profillerinden e-posta adreslerini sistematik olarak topluyor ve GitHub belirteçleri kuruluş üyeliklerinden tutun da çeşitli kriterlere göre veri toplamak hayalperest listeleri,” Eğik çizgiSonraki açıklığa kavuşmuş 12 Kasım’daki bir blog yazısında.
GoIssue, potansiyel saldırganlara özel derleme için 700 ABD doları veya tam kaynak kodu erişimi için 3.000 ABD doları karşılığında pazarlanmaktadır. SlashNext’e göre araç, toplu e-posta yeteneklerini gelişmiş veri toplama özellikleriyle birleştiriyor ve operatörün kimliğini proxy ağları aracılığıyla koruyor.
________________________________
Yaklaşan ücretsiz kampanyayı kaçırmayın Karanlık Okuma Sanal Etkinliği“Düşmanınızı Tanıyın: Siber Suçluları ve Ulus-Devlet Tehdit Aktörlerini Anlamak”, 14 Kasım, saat 11:00 ET. MITRE ATT&CK’yi anlama, proaktif güvenliği bir silah olarak kullanma ve olaylara müdahalede ustalık sınıfına ilişkin oturumları kaçırmayın; ve Navy Credit Federal Union’dan Larry Larsen, eski Kaspersky Lab analisti Costin Raiu, Mandiant Intelligence’dan Ben Read, SANS’tan Rob Lee ve Omdia’dan Elvia Finalle gibi çok sayıda önemli konuşmacı. Şimdi kaydolun!
________________________________
Geliştiricilerin Sırtlarında Hedef Var
Geliştiriciler giderek daha fazla Tehdit aktörlerinin en büyük hedefi Çünkü tedarik zinciri saldırıları başlatmak için kullanılabilecek değerli kaynak kodunun anahtarlarını sağlıyorlar ve yalnızca kod satırlarını değiştirerek veya kötüye kullanarak çok sayıda kurbana ulaşıyorlar. Kaynak kodu için önde gelen çevrimiçi depo olan GitHub, halihazırda ilgi odağındaydı. çok sayıda kötü niyetli kampanya kullanıcılarını hedef alıyor.
“GoIssue’nun ortaya çıkışı, geliştirici platformlarının daha da önemli hale geldiği yeni bir döneme işaret ediyor yüksek riskli savaş alanlarıOtomatik sertifika yaşam döngüsü yönetim firması Sectigo’nun kıdemli üyesi Jason Soroko, saldırganların “güvenilir geliştirici ortamlarından yararlanmayı” amaçladığını gözlemliyor.
GoIssue, GitHub odaklı saldırı araçlarında bir evrimi temsil ediyor ve saldırganlara, spam filtrelerini aşabilen ve belirli geliştirici topluluklarını hedefleyebilen büyük ölçekli, özelleştirilmiş kimlik avı kampanyaları düzenlemenin bir yolunu sunarken, saldırganlar da anonimlik örtüsünü koruyor.
Bu kampanyalar aracılığıyla, saldırganlar geliştirici kimlik bilgilerini çalabilir ve çalınan bu bilgileri, oturum açma kimlik bilgilerini çalabilen, kullanıcının cihazını tehlikeye atmak için kötü amaçlı yükleri yayabilen veya bilgi istemleri dağıtabilen kimlik avı saldırılarında kullanabilir. OAuth uygulama yetkilendirmesi Saldırganların özel depolara ve verilere erişmesini sağlar.
Araştırmacılar, bu şekilde tehdit aktörlerinin tedarik zincirini ve kurumsal ağları ihlal edebilecek diğer saldırıları başlatmak için GitHub projelerinden kaynak kodunu çalabileceğini ve/veya zehirleyebileceğini söyledi. Soroko, “Bu, özellikle geliştirici topluluğunun güvenini ve açıklığını hedef alan yüksek etkili bir saldırı mekanizmasıdır” diyor.
Siber Suçların Gitloker Gasp Kampanyasıyla Bağlantısı mı Var?
GoIssue’yu araştırırken, aracın potansiyel alıcılarına sağlanan iletişim bilgileri, SlashNext araştırmacılarını “cyberluffy” için bir Telegram profiline yönlendirdi; burada “Cyber D’ Luffy” adlı birinin Gitloker ekibinin bir üyesi olduğu belirtiliyor. Gitloker, Haziran ayında ortaya çıkarılan ve kötü amaçlı yazılımları göndermek için GitHub bildirimlerini kullanan, devam eden bir kampanyadır. OAuth uygulamaları şantaj amacıyla geliştirici depolarını silmeyi amaçlıyordu.
Dahası, GoIssue’nun reklamını yapan bir başlıkta satıcı, Gitloker saldırısının etkinliğini detaylandıran ve doğrulayan yüksek profilli güvenlik bloglarına bile bağlantı veriyor. Bu, Gitloker’in arkasında GoIssue satan aynı saldırganların olduğunu ve SlashNext’e göre aracın “Gitloker kampanyasının bir uzantısı veya aynı aracın geliştirilmiş bir versiyonu olabileceğini” gösteriyor.
Gönderiye göre “Her iki araç da benzer bir hedef kitleyi (GitHub kullanıcıları) paylaşıyor ve saldırıları başlatmak için e-posta iletişiminden yararlanıyor.” “Amaç ve personeldeki bu örtüşme, bunların bağlantılı olduğu veya birbirlerinin varyasyonları olduğu teorisini güçlü bir şekilde destekliyor.”
Araştırmacılar, aracı kim dağıtıyor olursa olsun, bunun GitHub kullanan geliştiricilere dikkatli olmaları ve herhangi bir anormal e-posta yazışması veya şüpheli görünen mesajlarla etkileşime girmemeleri gerektiği konusunda ciddi bir uyarı teşkil ettiğini belirtti. SlashNext’e göre “Bu sadece spam değil; hesabınızı veya projelerinizi ele geçirmek için potansiyel bir giriş noktasıdır.”
İnsan risk yönetimi firması Hoxhunt’un kurucu ortağı ve CEO’su Mika Aalto, organizasyonlarında özellikle GitHub kullanan geliştiricilerin bulunduğu şirketlerin, çalışanlarının güvenliğini sağlama konusunda özellikle proaktif ve uyarlanabilir olmaları gerektiğini belirtiyor.
“Saldırganlar otomasyondan ve gelişmiş araçlardan giderek daha karmaşık bir şekilde yararlandıkça, insanlara şüpheli bir e-postayı tanıma içgüdüsünü ve filtreleri atlayarak tehditleri bildirme becerilerini vermeliyiz” diyor.
Aalto, kuruluşların şüpheli etkinliklerin hızlandırılmış tespitini ve yanıtını kolaylaştırmak için insan tehdidi istihbaratını güvenlik yığınına entegre etmesi gerektiğini de ekliyor.