GitHub’da Yeni Bir Tehdit Kampanyası: Trojanlar ve Hacking Araçları
Son zamanlarda yapılan siber güvenlik araştırmaları, siber suçluların Python bazlı hacking araçları sunduğu fısıldanan 67’den fazla GitHub reposu yayınladığını ortaya koydu. Ancak bu reposlar, kullanıcıları virüslü yazılımlar ile tuzağa düşürmek için hazırlanmış. ReversingLabs tarafından "Banana Squad" kod adıyla tanımlanan bu faaliyet, 2023 yılına uzanan bir Python kampanyasının devamı niteliğinde kabul ediliyor. Bu kampanya, Python Package Index (PyPI) deposunu hedef alarak sahte paketlerle 75,000 kez indirildiği ve Windows sistemlerinde veri çalan özellikler sunduğu tespit edildi.
Sahte Araçların Kullanıcıları Hedef Alması
Araştırmalar, özellikle Discord hesap temizleme, Fortnite dışarıdan hile, TikTok kullanıcı adı kontrolü ve PayPal toplu hesap kontrolü gibi yazılımları arayan kullanıcıların hedef alındığını ortaya koydu. GitHub, tespit edilen tüm bu zararlı reposları hızla kaldırdı. ReversingLabs araştırmacısı Robert Simmons, "Herkese açık kaynak kodu depolarında arka kapılar ve trojan kodlar giderek daha yaygın hale geliyor ve yazılım tedarik zinciri saldırı vektörleri olarak büyüyor" dedi. Geliştiriciler için bu noktada dikkatli olmaları ve kullandıkları reposların içeriğini iki kez kontrol etmeleri gerektiğinin önemini vurguladı.
GitHub’ın Zararlı Yazılım Dağıtım Servisi Olması
GitHub’ın zararlı yazılım dağıtım kaynağı olarak giderek daha fazla odaklandığı görülüyor. Önceki hafta Trend Micro, "Water Curse" adı verilen bir siber suçlu tarafından işletilen 76 zararlı GitHub reposunu keşfetti. Bu reposlar, kullanıcıların kimlik bilgilerini, tarayıcı verilerini ve oturum belirteçlerini çalmak amacıyla tasarlanmış. Ayrıca siber suçlulara saldırıya uğramış sistemlere kalıcı uzak erişim sağlamayı amaçlıyor.
Check Point ise Minecraft kullanıcılarını hedef alan başka bir kampanya hakkında bilgi verdi ve bu kampanyanın Stargazers Ghost Network adında bir kriminal hizmeti kullandığını belirtti. Stargazers Ghost Network, GitHub üzerinden zararlı yazılımlar veya kötü niyetli bağlantılar yaymak için kullanılan çeşitli GitHub hesaplarıyla ilgilidir. Check Point, "Ağ, zararlı bağlantıları ve yazılımları dağıtan birkaç hesap içermekte ve kötü niyetli reposları meşru göstermek için yıldız verme, forklama ve abone olma gibi eylemler gerçekleştiriyor" dedi.
GitHub’da Büyük Tehditlerle Karşılaşmak
Söz konusu ağın Checkmarx tarafından Nisan 2024’te ifşa edilen birçok yönü var. Tehdit aktörlerinin bot hesapları kullanarak fake yıldızlar verdiği ve reposların popülaritesini artırmak için sık güncellemeler pompaladığı belirtildi. Bu tür reposlar, genellikle popüler oyunlarla veya araçlarla ilgili sahte projeler olarak gizleniyor. Bu kampanyalar, GitHub üzerinde hep erişilebilir zararlı yazılımlar ve saldırı araçları arayan acemi siber suçluları hedef alıyor.
Sophos tarafından bu ay vurgulanan bir örnekte, trojanize edilmiş Sakura-RAT reposunun, kullanıcıları tehlikeye atan kötü niyetli kod içerdiği tespit edildi. Belirlenen reposlar, Visual Studio PreBuild olayları, Python betikleri, ekran koruyucu dosyaları ve JavaScript içindeki dört çeşit arka kapıyı taşıyor. Bu arka kapılar, veri çalma, ekran görüntüleri alma ve Telegram üzerinden iletişim kurmayı mümkün kılıyor.
Yaygın ve iyi Kurgulanmış Kötü Amaçlı Yazılımlar
Cybersecurity firması, tespit edilen kampanya kapsamında toplamda 133 arka kapılı repos bulunduğunu, bunların 111’inin PreBuild arka kapısı içerdiğini belirtti. Diğer reposlar ise Python, ekran koruyucu ve JavaScript arka kapıları barındırıyordu. Sophos, bu tür aktivitelerin 2022 yılından bu yana var olan bir dağıtım hizmeti (DaaS) operasyonu ile bağlantılı olabileceğini öne sürdü.
Söz konusu tehdit aktörleri tarafından kullanılan dağıtım yönteminin netliği belirsiz olsa da, Discord sunucuları ve YouTube kanalları üzerinden zararlı reposların bağlantılarının yayılmakta olduğu düşünülüyor. "Bu kampanyanın daha önce rapor edilen bazı veya tüm kampanyalarla doğrudan bağlantılı olup olmadığını kesin olarak söylemek zor, ancak bu yöntem popüler ve etkili görünüyor" diyen Sophos, gelecekte hedef grupların değişebileceği uyarısında bulundu.
Sonuç itibarıyla, bu dikkat çekici gelişmeler, GitHub kullanıcılarının ve geliştiricilerinin yazılım güvenliği konusunda daha dikkatli olmaları gerektiğini gösteriyor.
