Giriş
GitHub, 3,800 iç deposunun hacklendiğini ve bu saldırının geçen hafta TanStack npm tedarik zinciri saldırısı sonucunda gerçekleştiğini duyurdu. Bu tür saldırılar, geliştirici platformları üzerindeki güvenliği ciddi şekilde tehdit etmekte ve tüm yazılım ekosistemini etkileme potansiyeline sahiptir.
Saldırı Nasıl Çalışıyor?
Saldırı, TeamPCP adlı tehdit grubuna atfedilmektedir. TanStack ve Mistral AI npm paketlerinin tehlikeye girmesiyle başlamış ve çalınan CI/CD kimlik bilgileri kullanılarak başka projelere (UiPath, Guardrails AI ve OpenSearch dahil) hızlıca yayılmıştır. GitHub’a yapılan bu saldırı, çalışan birinin kötü niyetli bir Visual Studio Code (VS Code) uzantısını yüklemesiyle başlamıştır. Bu uzantının ismi henüz açıklanmamıştır, ancak GitHub’ın açıklamalarına göre, bu uzantı Nx Console adındaki resmi uzantının kötü bir versiyonudur.
Etkilenen Sistemler
– GitHub iç deposu
– TanStack ve Mistral AI npm paketleri
– UiPath , Guardrails AI , OpenSearch gibi diğer projeler
– Çeşitli platformlar için kimlik ve gizli bilgileri çalan kötü niyetli uzantılar; bunlar arasında:
– npm
– AWS
– Kubernetes
– Google Cloud Platform (GCP)
– Docker
Çözüm ve Korunma
GitHub, saldırıya maruz kalan cihazı güvence altına aldığını ve müşteri verilerinin çalındığına dair henüz bir kanıt bulamadıklarını ifade etti. Ayrıca;
- Öncelikle etkilenen kimlik bilgilerini değiştirdiler.
- Logları analiz etmeye ve güvenlik açıklarını gidermeye devam ediyorlar.
Nx geliştirici ekibi de, tanımlanan kötü niyetli uzantının 18.95.0 versiyonunun Visual Studio Marketplace’te yaklaşık 18 dakika, OpenVSX üzerinde ise 36 dakika boyunca mevcut olduğunu açıkladı.
Sonuç
Bu tür saldırılara karşı alınacak önlemler son derece önemlidir. Kullanıcılar, aşağıdaki adımları izlemeli:
- Uzantıları düzenli olarak kontrol edin ve güvenilir olmayan kaynaklardan gelen uzantılardan kaçının.
- Gizli bilgilerinizi ve kimlik bilgilerinizi düzenli olarak değiştirin.
- Tüm sistemlerinizi güncel tutun ve güvenlik yamalarını zamanında uygulayın.
- Güvenlik önlemlerini artırmak adına, çok faktörlü kimlik doğrulaması (MFA) kullanın.
Bu önlemler, siber güvenlik tehditlerini minimize etmek için kritik bir öneme sahiptir.
