Son dönemde, ASSET Araştırma Grubu tarafından geliştirilen bir saldırı metodu, kötü niyetli talimatları PNG dosyası içerisine gizleyerek bir depodaki sırların çalınmasına olanak tanıyor. Bu tür bir saldırı, yapay zeka ile kod incelemesi yapan sistemlerin gözünde görünmez hale gelerek ciddi güvenlik açıklarına yol açabilir.
Ghostcommit Nasıl Çalışıyor?
Açığa çıkarılan bu saldırı metodu, Sudipta Chattopadhyay tarafından yönetilen ASSET Araştırma Grubu’ndan geliyor. Bu grup, araştırmalarını BleepingComputer ile paylaştı.
Grup, bu hafta GitHub üzerinde bir kanıt-of-concept yayınladı ve bulgularını etkilenen tedarikçilere bildirdi. Araştırmalarına göre, yapılan bir incelemede, son 90 gün içerisinde 300’den fazla aktif halka açık depo üzerinden yapılan 6,480 pull request’in %73’ü, insan veya bot incelemesine tabi tutulmadan birleştirilmiştir.
Bu yöntemde kötü niyetli talimatlar metin olarak değil, bir resim içinde gizlenir. Örneğin, bir AGENTS.md dosyası, bir kodlama konvansiyonu dosyası olarak görünse de, aslında herhangi bir gizli bilgiyi barındırmayan düzenli bir yapıdadır. Bu dosya, build-spec.png isimli bir resme işaret eder. Saldırı, bu PNG içindeki metni kullanarak .env dosyasını byte byte okur ve her byte’ı bir tamsayıya kodlayarak sonucunu bir modül sabiti olarak çıkartır, gerçek dosya ile eşleşip eşleşmediğini kontrol eder.
Bir metin inceleyicisi için resim, sadece bir ikili dosyadır. Kötü niyetli içerik, inceleme süreçlerinden geçmeden depoya yerleşir.
Etkilenen Sistemler
Bu saldırı, özellikle şu araçları etkileyebilir:
- Cursor
- Antigravity
- Gemini CLI
- GPT-5.5
Bu araçlar, resmi kod inceleme süreçlerinde tasarım hatalarını ortaya çıkaran fonksiyonlar içerir ve bu tür bir saldırıya karşı korunmasız kalabilir.
Çözüm ve Korunma
Bu tür bir saldırıdan korunmak için önerilen yöntemler şunlardır:
- Depolarınızı ve pull request’lerinizi düzenli olarak inceleyin.
- Kod inceleme araçlarınızı güncel tutun ve mümkünse multimodal pull-request defender gibi ek güvenlik katmanları kullanın.
- Gizli bilgilerin depoda tutulmaması için .env dosyalarının gizli ve erişimden uzak olduğundan emin olun.
- Geliştirici ekibinizin eğitimine önem verin; resim dosyaların içeriği ve olası kötü niyetli kullanımları hakkında bilgi sahibi olun.
Unutmayın, güvenlik katmanlarınızı sürekli güncel tutarak ve kod inceleme süreçlerine dikkat ederek bu tür saldırılara karşı daha az duyarlı olabilirsiniz. Ayrıca, güncellemeler sağlayarak ve port kapatma önlemleri alarak sistemlerinizdeki zayıflıkları en aza indirin.


