Yeni Bir Tehdit: GhostAction
Son dönemde yazılım geliştirme topluluğunu tehdit eden önemli bir olay meydana geldi. GhostAction adı verilen bir tedarik zinciri saldırısı, GitHub üzerinde 3,325 gizli bilgiyi açığa çıkardı. Bu gizli bilgiler, PyPI, npm, DockerHub, GitHub tokenları, Cloudflare ve AWS anahtarları gibi kritik verileri içermektedir. Bu olay, yazılım güvenliği alanında önemli bir endişe kaynağı olarak öne çıkmakta.
Saldırının Ortaya Çıkışı
Saldırı, GitGuardian araştırmacıları tarafından keşfedildi. İlk saldırı belirtilerinin, etkilenen projelerden biri olan FastUUID üzerinde 2 Eylül 2025 tarihinde görünür hale geldiği bildirildi. Saldırının temelinde, etkisi altına alınan bakımcı hesaplarının kullanılması yatmaktadır. Bakımcı hesapların kullanılmasıyla birlikte, otomatik olarak ‘push’ ya da manuel olarak başlatılan zararlı bir GitHub Actions iş akış dosyası eklendi.
Bu iş akışı, tetiklendiğinde projenin GitHub Actions ortamından gizli bilgileri okumakta ve onları saldırganın kontrolündeki harici bir alan adına göndermekte. FastUUID örneğinde, GitGuardian, saldırganların projenin PyPI tokenını çaldığını belirtmiştir. Ancak, saldırı keşfedilmeden önce paket kayıt defterinde zararlı herhangi bir paket yayınlanmamıştır.
Saldırının Kapsamı
Saldırıyla ilgili daha derin bir araştırma, GhostAction kampanyasının kapsamının çok daha geniş olduğunu ortaya koymuştur. Araştırmacılara göre, GhostAction kampanyası, en az 817 depoda benzer taahhüdü enjekte etmiş olup, tüm gizli bilgileri aynı sona yönlendirmektedir. Saldırganlar, meşru iş akışlarından gizli isimleri belirleyerek, bu isimleri kendi iş akışlarına zorla yerleştirmiştir.
GitGuardian, kampanyanın tam kapsamını 5 Eylül tarihinde açığa çıkardıktan sonra, etkilenen 573 depoda GitHub problemleri oluşturarak GitHub, npm ve PyPI güvenlik ekiplerine doğrudan bildirimde bulunmuştur. Bu süreçte, yüzlerce GitHub deposu zaten saldırıyı tespit edip zararlı değişiklikleri geri almıştır.
Çalınan Gizli Bilgiler
Araştırmacılar, GhostAction kampanyası sonucunda yaklaşık 3,325 gizli bilginin çalındığını tahmin etmektedir. Bu gizli bilgiler, PyPI tokenları, npm tokenları, DockerHub tokenları, GitHub tokenları, Cloudflare API tokenları, AWS erişim anahtarları ve veritabanı kimlik bilgileri gibi kritik verileri içerir. Bu durum, yazılım geliştirme topluluğunda büyük bir güvenlik açığına işaret etmektedir.
Kötü Amaçlı Paketler Tehditi
Saldırının doğrudan etkilediği en az dokuz npm ve on beş PyPI paketi bulunmaktadır. Bu paketler, sızdırılmış olan gizli bilgileri kullanarak zararlı ya da trojanlaştırılmış versiyonlar yayınlayabilir. GitGuardian, Rust crate ve npm paketleri gibi çok sayıda paket ekosisteminde kompremize tokenlar bulunduğunu açıklamıştır. Birçok şirketin, Python, Rust, JavaScript ve Go gibi dillerdeki SDK portföylerinin tamamının tehlikeye atıldığı tespit edilmiştir.
Geçmiş Olaylarla Bağlantı
GhostAction kampanyası, Ağustos ayının sonlarında patlak veren s1ngularity kampanyası ile bazı pratik ve teknik benzerliklere sahip olmasına rağmen, GitGuardian bu iki operasyon arasında bir bağlantı olmadığına inanmaktadır. Gerçekten de her iki saldırı da yazılım geliştirme süreçlerini hedef almasına rağmen, farklı metodolojilerle gerçekleştirilmektedir.
Sonuç Olarak
Bu tür saldırılar, yazılım geliştirme süreçlerinin güvenliğine yönelik ciddi tehditler oluşturmaktadır. Yazılım geliştiricilerin, gizli bilgilerini koruma konusunda daha dikkatli olması ve düzenli güvenlik denetimleri yapması şarttır. Ayrıca, açık kaynak yazılımların güvenirliğini artırmak için topluluk içerisinde bilgi paylaşımı ve iş birliği büyük önem taşımaktadır. Yazılım güvenliği alanındaki bu tür olaylar, siber güvenlik önlemlerinin güçlendirilmesi gerektiğinin altını çizmektedir.
