Giriş
Son dönemde GitHub üzerinde geliştiricilere yönelik yapılan geniş ölçekli bir dolandırıcılık kampanyası, sahte Visual Studio Code (VS Code) güvenlik uyarıları ile kullanıcıları kötü niyetli yazılımlar indirmeye teşvik etmektedir. Bu durum, yazılım geliştiricilerinin güvenliği açısından ciddi bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Bu kampanya, GitHub projelerinin tartışmalar bölümünde gerçekçi başlıklarla sahte güvenlik uyarıları yayımlamaktadır. Uyarılar genellikle şu gibi başlıklar içermektedir:
- Ateşli Güvenlik Açığı – Acil Güncelleme Gerekli
Ayrıca, gerçek kod bakımcıları veya araştırmacılar taklit edilerek sahte bir meşruiyet hissi oluşturulmaktadır. Socket isimli uygulama güvenliği şirketi, bu faaliyetlerin iyi organize edilmiş bir kampanyanın parçası olduğunu belirtmektedir.
Etkilenen Sistemler
Sahte güvenlik uyarıları, yeni oluşturulmuş veya az aktif hesaplar tarafından otomatik olarak, binlerce depoda birkaç dakika içerisinde yayımlanmaktadır. Bu durum, geniş bir kullanıcı kitlesine e-posta bildirimleri göndererek hedef alınan geliştiricilerin farkına varmadan dolandırıcı bağlantılara yönlendirilmesine sebep olmaktadır.
Özellikle, e-posta bildirimleri ile geliştiricilerin kutularına gelen sahte uyarılar, kullanıcıların dikkatini çeken bağlantılar içermektedir. Bu bağlantılar, etkilenen VS Code eklentilerinin sözde yamanmış versiyonlarını barındıran harici hizmetlere yönlendirmektedir. Örneğin, sahte güvenlik uyarılarına genellikle Google Drive gibi güvenilir hizmetler kullanılarak yapılan bağlantılar eşlik etmektedir.
İkinci Aşama ve Zararlı Yazılım
Bu bağlantılara tıklamak, kullanıcıları drnatashachinn[.]com adresine yönlendirmekte ve burada bir JavaScript keşif betiği çalıştırılmaktadır. Bu betik, kurbanın zaman dilimi, yerel ayarları, kullanıcı aracı, işletim sistemi detayları ve otomasyon göstergelerini toplamakta ve bu verileri bir POST isteği ile komuta kontrol sunucusuna göndermektedir.
Socket’ın tespit ettiği ikinci aşama yüklemesi, doğrudan bu JS betiği aracılığıyla sunulmamaktadır; ayrıca kimlik bilgilerini yakalamaya çalışmamaktadır.
Geçmişteki Benzer Olaylar
Bu durum, tehdit aktörlerinin meşru GitHub bildirim sistemlerini kullanarak phishing ve kötü niyetli yazılım dağıtma girişiminde bulunmasının ilk örneği değildir. Örneğin, Mart 2025’te 12.000 GitHub deposunu hedef alan bir phishing kampanyası yürütülmüş ve geliştiricilerin kötü niyetli bir OAuth uygulamasına yetki vermesine neden olmuştur. Yine, Haziran 2024’te spam yorumlar ve pull request’ler yoluyla phishing sayfalarına yönlendiren bir başka kampanya gerçekleştirilmiştir.
Çözüm ve Korunma
Güvenlik uyarıları ile karşılaşan kullanıcıların, aşağıdaki yerlere başvurması önerilmektedir:
- National Vulnerability Database (NVD)
- CISA‘nın Bilinen Sömürülmüş Açıklar kataloğu
- MITRE web sitesi üzerinden Common Vulnerabilities and Exposures programı
Kullanıcıların, harekete geçmeden önce sahtecilik belirtilerini göz önünde bulundurarak güvenlik uyarılarının meşruiyetini sorgulaması önemlidir. Özellikle, dış indirme bağlantıları, doğrulanmamış CVE’ler ve alakasız kullanıcıların çoklu etiketlenmesi gibi durumlara dikkat edilmelidir.
Sonuç
Geliştiricilerin, bu tür sahte güvenlik uyarılarının kurbanı olmamak için dikkatli olmaları ve özellikle dış bağlantılara tıklamadan önce iyi bir araştırma yapmaları gerekmektedir. Acil güncellemelerin ve port kapatmaların yapılması, güvenliğinizi artıracaktır. Unutmayın, resmi kaynaklardan ve güvenilir platformlardan gelen bilgiye daima öncelik tanıyın.
