Ne bilmek istiyorsun
- Siber güvenlik firması Apiiro, GitHub’un binlerce insanı etkileyebilecek büyük bir saldırıya uğradığını bildirdi.
- Bu saldırı, güvenli ve temiz depoların klonlanmasını, kötü amaçlı, karmaşık kodların eklenmesini ve bunların yeniden yüklenmesini içerir.
- GitHub kötü amaçlı depoları silmeye çalışıyor ancak hepsini izleyemiyor gibi görünüyor.
yakın zamanda Apiiror’un raporu, güvenlik araştırması ve veri bilimi ekipleri çok büyük bir saldırı keşfetti. Apiiro bunu kötü niyetli bir depo karışıklığı kampanyası olarak adlandırıyor. Apiiro ekipleri, 100.000’den fazla GitHub deposunun, hatta muhtemelen milyonlarcasının etkilendiğini tahmin ediyor. Ne yazık ki bu, GitHub’un kötü niyetli aktörler tarafından kullanıldığına dair rapor etmek zorunda kaldığımız ilk sefer değil. Birkaç ay önce GitHub’un fidye yazılımını kolaylaştırmak ve hatta fidye yazılımı saldırıları için komut ve kontrol kanalları oluşturmak için nasıl kullanıldığını tartışmıştık.
Bu saldırılar aşırı karmaşık değil ve durdurulmaları da zor değil; sorun şu ki saldırılar endişe verici bir hızda gerçekleşiyor ve GitHub buna ayak uydurmakta zorlanıyor gibi görünüyor.
Depo karışıklığı saldırıları nelerdir?
GitHub ve benzeri platformlarda hesapların ve depoların otomatik olarak oluşturulmasının kolaylığı, rahat API’ler ve atlatılması kolay yumuşak oran limitleri, aralarında saklanacak çok sayıda depoyla birleştiğinde, onu yazılım tedarik zincirine gizlice bulaşmak için mükemmel bir hedef haline getiriyor .
Apiiro
GitHub deposu, GitHub kullanıcısının kodunu yükleyerek dünyanın geri kalanıyla paylaşabileceği bir yerdir. Birçok kişi tarafından sıklıkla aranan ve indirilen çok popüler depolar vardır. Bir sulama deliği saldırısında, saldırganlar popüler iyi depoları indirir, kötü amaçlı kod ekler, “7 katmanlı” “eepApi’ro’ya “bağdaştırılır” ve bunları GitHub’a aynı adla yeniden yüklerler. Daha sonra deponun sahte versiyonunu sosyal medya, Discord ve diğer araçlar aracılığıyla hedeflenen kitleye yayarlar. Bu özellikler bir sulamanın göstergesidir Siber Güvenlik’te çok yaygın olan delik saldırısı.
A sulama deliği saldırısı siber saldırganların sık ziyaret ettikleri web sitelerine virüs bulaştırarak kullanıcı gruplarını hedef almasını içerir. Saldırganlar sabırla kullanıcıların güvenliği ihlal edilmiş bu web sitelerine gitmesini bekler ve ardından onları bilgisayarlarına bulaştırmak için kötü amaçlı bir siteye yönlendirerek kuruluşun ağına erişim sağlar.
Bu saldırganlar kötü amaçlı depolarını yeniden yükledikten sonra otomasyonu kullanarak bunları binlerce kez çatallıyorlar. Bu taktik oldukça yaygın olarak kullanılmaktadır. Birkaç yıl önce ünlü bir sanatçının popüler bir müzik albümünü hatırladım ve birçok kişi albümü Torrent aracılığıyla indirmeye çalıştı. Ancak dolaşan dosya kötü amaçlıydı ve birçok kişinin verilerini kaybetmesine neden oldu.
GitHub kötü amaçlı depoları bilgisayarınıza nasıl bulaşır?
Resim 1 ile ilgili 3
Apiiro ve diğer siber güvenlik firmaları buna tedarik zinciri saldırısı diyor ve bu teknik olarak doğru olsa da GitHub’un tedarik zinciri olarak nitelendirilemeyeceğini düşünüyorum.
Tedarik zinciri saldırısı, güvenilir bir üçüncü taraf satıcıyı veya tedarikçiyi hedef alan bir siber saldırıdır. “Bir şirketin ağına veya verilerine yetkisiz erişim elde etmek için yazılıma kötü amaçlı kod yerleştirmeyi veya donanım bileşenlerini tehlikeye atmayı içerir.” başına Kalabalık grevi.
Genellikle bir tedarik zincirinin, bir şirketin ortamında kullanılabilecek kodu barındıran bir web sitesinden değil, altyapınıza erişimi olan bir üçüncü taraf satıcıdan veya tedarikçiden gelmesi gerekir.
Bu saldırılar kodun karartılmasına neden olur ve Python esas olarak saldırıları gerçekleştirmek için kullanılır. Yükün teslimi gerçekleştikten ve güvenlik açığından yararlanıldıktan sonra kod, BlackCap Yakalayıcı hedefe yönelik eylemler gerçekleştirmek ve çalınan bilgileri bir komuta ve kontrol sunucusuna göndermek. Kötü amaçlı bir GitHub deposu indirirseniz bu şeyler çalınabilir veya bilgisayarınızda yapılabilir.
- Tarayıcı şifreleri, çerezler ve tarama geçmişi
- Sistem bilgisi
- Steam, MetaMask ve Exodus gibi uygulama ve araçlardan giriş kimlik bilgileri
- Ayrıca TokenProtector’ı atlamaya çalışacak
- Kripto para birimi adreslerini değiştirmek için Windows panosunu ele geçirmek, içeriğini saldırganın cüzdan adresiyle değiştirmek (diğer işlevlerin yanı sıra)
Microsoft GitHub’u güvenli hale getirmek için ne yapabilir?
Rapora göre, “GitHub bilgilendirildi ve kötü amaçlı depoların çoğu silindi, ancak kampanya devam ediyor ve tedarik zincirine kötü amaçlı kod eklemeye çalışan saldırılar giderek yaygınlaşıyor.”
Bu saldırı 2023 yılının Mayıs ayında başladı ancak katlanarak büyüdü. Bu saldırı, GitHub’un bu kodu yüklendikten sonra ve muhtemelen çok geç olduğunda tespit etmeye çalışması gerekeceği, köstebek gibi bir durum gibi görünüyor. Bu saldırılar devam ettikçe giderek daha fazla kullanıcıya virüs bulaşabilir.
Yoğun bir GitHub kullanıcısıysanız muhtemelen sizi güvende tutmak için Microsoft ve GitHub’a güvenemezsiniz. Diyelim ki bilgisayarınıza virüs bulaşıp bulaşmadığını kontrol etmek istiyorsunuz. Apiiro şunları sağladı: VirüsToplam grafiği Keşfedilen kötü amaçlı dosyalardan bazıları ile. Bilgisayarınızda bu dosyalar olup olmadığını kontrol etmek istiyorsanız, bu oldukça zaman alıcı olacaktır.
PC ortamınızda şu kod dizeleriyle eşleşen Python kalıplarını arayın:
- exec(Fernet
- exec(istekler)
- exec(_ _import
- exec(bayt
- exec(“””\nimport
- exec(derleme
- _ _import_ _(“yerleşikler”).exec(
En iyi uygulama, birincil bilgisayarınızı korumak için kodu bir sanal alanda çalıştırmaktır. Sosyal medya platformları veya kripto cüzdanlarıyla iletişim kuran herhangi bir kodu arayın. Microsoft bu sorunu çözene kadar GitHub’dan herhangi bir kod indirirken dikkatli olun.
GitHub, Microsoft’un karşılaştığı tek siber güvenlik sorunu değil.
Yaygın yapay zeka entegrasyonu çağında Microsoft, dışarıya doğru genişlemeden önce iç güvenlik önlemlerine öncelik verme konusunda önemli bir fırsata sahip. Yapay zekadaki ilerlemelere rağmen, siber tehditlere karşı ön saflarda savunmada insan analistlerin ve mühendislerin vazgeçilmezliği ortadadır. Siber güvenlik ortamı geliştikçe, alana girmekle ilgilenen kişiler, siber güvenlik başlangıç kılavuzumuz gibi rehberliği değerli bulabilirler.
Microsoft yakın zamanda siber güvenlik savunucularının performansını artırdığı iddia edilen bir araç olan Security Copilot’u piyasaya sürdü. Bununla birlikte, etkinliği büyük ölçüde müşteri etkileşimine bağlıdır; bu, Microsoft’un müdahalesiz yaklaşımını yansıtır; bu, genellikle şirketle ilişkilendirilen bir özelliktir ve müşteri hizmetlerine minimum düzeyde yatırım yapmasıyla ünlüdür. Bu anlayış, Salı Yaması gibi düzenli bakım ve güncellemelere rağmen Microsoft’un çabalarının çoğunlukla tepkisel göründüğü siber güvenliğe kadar uzanıyor gibi görünüyor.
Microsoft’un bir yan kuruluşu olan GitHub’un bilgisayar korsanları tarafından etkili bir şekilde istismar edilmesi, şirketin yapay zekayı savunma amacıyla kullanma becerisi hakkında soru işaretleri yarattı. Bununla birlikte Microsoft, işletim sistemi, sunucuları ve GitHub gibi yan kuruluşları da dahil olmak üzere sistemlerini güçlendirebilirse küresel ihlal olaylarını önemli ölçüde azaltarak tüm paydaşlara fayda sağlayabilir.
