“Gitloker” kullanıcı adını kullanan bilinmeyen bir kullanıcı, kurbanlara şantaj yapmak amacıyla GitHub’daki temiz depoları ele geçirip siliyor.
Şilili siber güvenlik firması CronUp’tan bir araştırmacının gerçekleştirdiği kampanya X sosyal platformundaki bir mesajda vurgulandı Bu hafta yaşanan sorun, en az Şubat 2024’ten beri devam ediyor gibi görünüyor. GitHub topluluk forumlarındaki gönderiler, son birkaç ay içinde birçok GitHub kullanıcısının bu sorunla karşılaştığını gösteriyor ancak gerçek sayı bilinmiyor.
GitHub, şirketin tehdidin farkında olup olmadığı veya GitHub kullanıcılarına ne gibi tavsiyelerde bulunabileceği konusunda Dark Reading’e hemen yanıt vermedi.
CronUp araştırmacısı German Fernandez’e göre saldırganlar GitHub’un yorum yapma ve bildirim özelliğini kullanıyor gibi görünüyor. Fernandez, X gönderisinde şunları yazdı: “Yukarıdakilerle, meşru “notifications@github nokta com” üzerinden kimlik avı e-postaları göndermeyi başarıyorlar. “Ayrıca, gönderenin adı, saldırganın GitHub hesabını yeniden adlandırarak manipüle edilebilir.” Saldırganların kampanyada iki alan adı kullandığı belirtiliyor: “githubcareers dot online” ve “githubtalentcommunity dot online.”
Çoklu Olaylar
22 Şubat’ta GitHub kullanıcısı CodeLife234 bir arkadaşının hesabıyla ilgili bir sorun bildirdi saldırıya uğramış ve daha sonra işaretlenmiştir. Görünüşe göre bu uzlaşma, kurbanın GitHub geliştirici işi için işe alım yapan spam e-posta olduğu ortaya çıkan bir bağlantıya tıkladıktan sonra meydana geldi.
Kurban, saldırganın hesabına iki repo oluşturup aktardığını ve bir de gasp notu bıraktığını söyledi. Telegram’ın anonim blog platformu Telegraph’ta yayınlanan mesajda, “Bu, verilerinizin tehlikeye girdiğini ve bir yedeklemeyi güvence altına aldığımızı bildirmek için acil bir bildirimdir” dedi. “Şu anda dosyalarınızın ifşa edilmesini önlemek için 1.000 ABD Doları tutarında sembolik bir miktar talep ediyoruz. Herhangi bir veri sızıntısını önlemek için herkesin önümüzdeki 24 saat içinde derhal harekete geçmesi çok önemlidir.”
Kurban ayrıca saldırganın bazı depoları sildiğini ve hesaplarının ve projelerinin artık kamuya açık olmadığını söyledi.
Bu gönderiye yanıt veren yorumlarda, “Mindgames” kullanıcı adına sahip başka bir GitHub kullanıcısı, GitHub geliştirici işi için olduğu iddia edilen aynı e-postayı aldığını bildirdi. Notices@github dot com adresinden gönderilen e-posta, işin 180.000 dolarlık maaş ve birçok cazip avantajla birlikte sunulduğunu gösteriyordu. Alıcıyı, başvuru sürecinde ek bilgileri doldurmak için gömülü bir bağlantıya tıklamaya çağırdı.
Başka bir GitHub kullanıcısı hem sahte bir işe alım e-postası hem de bir e-posta aldığını bildirdi. sahte güvenlik uyarısı Son birkaç ayda GitHub bildirim sistemi aracılığıyla. Güvenlik uyarısının ekran görüntüsü, e-postanın “GitHub Güvenlik Ekibi” tarafından imzalanmış gibi göründüğünü ve alıcıya, hesabının ele geçirildiği konusunda bilgi verdiğini gösteriyordu.
E-postada, “Sunucularımıza yetkisiz erişim sağlandığı ve potansiyel olarak kullanıcı verilerinin ve platformumuzun bütünlüğünün tehlikeye atıldığı görülüyor” denildi. GitHub’un güvenlik ekibine gerekli düzeltici eylemi gerçekleştirme yetkisi vereceği iddia edilen bir bağlantıya tıklayarak, alıcının sorunun çözümü konusunda acil yardımını istedi. Hem iş hem de güvenlikle ilgili e-postalar kullanıcıyı https://githubcareer dot online/ adresine yönlendirdi.
“Bu e-postalar, kullanıcılardan GitHub’da kimlik doğrulaması yapmalarını istiyor ve kısa bir aradan sonra herhangi bir işlem yapılmazsa sayfa otomatik olarak bir OAuth2 kimlik doğrulama sayfasına yönlendiriliyor. [specific] sorgu parametreleri” dedi kullanıcı.
Veri Hırsızlığı Yoluyla Gasp
Ancak GitHub şantaj olaylarının tümü aynı görünmüyor.
Fernandez bu hafta başında bir ekran görüntüsü yayınladı X hesabında, Gitloker’in bir B2C şirketinin GitHub deposuyla ilişkili olduğu anlaşılan birine bıraktığına dair 11 Nisan tarihli bir gasp notu yer alıyordu. Kendini siber olay analisti olarak tanımlayan bir kişiden gelen not, alıcıya Gitloker “ekibinin” depoda kamuya açıklanması durumunda şirkete zarar verebilecek gizli bilgiler bulduğunu bildirdi.
Saldırgan, “250.000 ABD Doları tutarında bir ödeme karşılığında bu bilgiyi kamuya açıklamaktan kaçınmaya hazırız” diye yazdı. Notta mağdura, ödemenin alınması halinde verilerin gizliliğinin devam edeceği konusunda güvence verildi.
GitHub sözcüsü Dark Reading’e, şirketin platformundaki tüm kötü amaçlı veya şüpheli faaliyet raporlarını araştırdığını ve gerekli görüldüğünde harekete geçeceğini söyledi. Sözcüye göre “Ayrıca müşterilerimizi ve topluluk üyelerimizi kötüye kullanım ve spam’i bildirmeye teşvik ediyoruz.”
GitHub, GitHub hesaplarının ele geçirildiğini düşünen kullanıcılar için çeşitli önlemler önerdi: Aktif GitHub oturumlarını inceleyin, gözden geçirmek kişisel erişim belirteçleriGitHub şifresini değiştirin ve iki faktörlü kurtarma kodlarını sıfırlayın.
“Yetkili OAuth uygulamalarını inceleyin ve herhangi bir bağlantıya tıklamayın veya herhangi bir kaynaktan gelen istenmeyen mesajlara yanıt vermeyin. OAuth uygulamasını yetkilendirme. OAuth uygulamasını yetkilendirme GitHub’a göre, bir kullanıcının GitHub hesabını ve verilerini üçüncü bir tarafa ifşa edebilir.”
