Giriş
Siber güvenlik alanında, sahte GitHub reposları üzerinden dağıtılan infostealer kötü amaçlı yazılımlar ciddi bir tehdit oluşturuyor. Bu tür saldırılar, kullanıcılardan hassas verilerin toplanmasına yol açarak büyük güvenlik ihlallerine neden olabilir.
Saldırı Nasıl Çalışıyor?
Bir tehdit aktörü, meşru yazılımlara ve güvenlik projelerine ait sahte GitHub reposları yayınlayarak infostealer malware dağıtıyor. Bu kampanya, güvenlik ürünleri, kripto para hizmetleri, finansal araçlar, geliştirici araçları ve oyun yazılımları gibi arama sonuçlarından trafik çekiyor.
Kötü amaçlı yazılım, 19 web tarayıcısından veri toplarken, 32 kripto para cüzdanı bilgisini çalıyor ve mesajlaşma ile sosyal medya uygulamalarından hassas bilgileri exfiltrate ediyor. ArcticWolf siber güvenlik firması, bu faaliyetleri 26 Haziran’da tespit etti ve toplamda 292 sahte repo olduğunu belirledi.
Etkilenen Sistemler
Saldırının hedef aldığı sistemlerden bazıları şunlardır:
- Web Tarayıcıları: Şifreler, çerezler ve ödeme bilgileri
- Kripto Para Cüzdanları: 32 farklı marka cüzdan verisi
- Sosyal Medya ve Mesajlaşma Uygulamaları: Telegram, Discord token’ları
- Windows Credential Manager: Kimlik bilgileri
- Masaüstü ve Belgeler Klasörü: Hassas dosyalar
Araştırmacılar, bu kötü amaçlı yazılımın BoryptGrab ailesinin bir varyantı olduğunu ve daha önce belgelenmemiş bir yeteneğe sahip olduğunu, bu yeteneğin Chrome’un Uygulama-kısıtlı Şifrelemesini doğrudan kod enjekte ederek aşma kapasitesine dayandığını belirtti.
Çözüm ve Korunma
Kullanıcıların bu tür saldırılara karşı alabileceği önlemler şunlardır:
- GitHub üzerinden indirdikleri yazılımların doğruluğunu kontrol edin.
- Sadece resmi ve güvenilir kaynaklardan yazılım indirin.
- Kötü amaçlı yazılımların izlerini taşıyan Yara kurallarını kullanarak sistem taraması gerçekleştirin.
- Antivirüs yazılımlarını güncel tutun ve düzenli sistem taramaları yapın.
Elde edilen verilerin, bir Rusya merkezli komut ve kontrol (C2) sunucusuna gönderildiği tespit edilmiştir. Arctic Wolf, GitHub’un zararlı repo sayısının büyük kısmını kaldırdığını ancak hala bazı yönlendirme sayfalarının aktif olduğunu bildirdi.
Kampanyanın arkasındaki tehdit aktörünün hangi gruba ait olduğu net olmasa da, finansal motivasyon taşıdığı değerlendirilmektedir.
Sonuç
Kullanıcılara, güncel güvenlik yazılımlarını kullanmaları ve ücretsiz indirmeler konusunda dikkatli olmaları önerilmektedir. Eğer şüpheli bir repo ile karşılaşırsanız, o sayfadan uzak durun ve sisteminizi güncelleyin. Güvenlik açığı ve tehditlere karşı her zaman hazırlıklı olun.


