GhostAction Tedarik Zinciri Saldırısı ve PyPI Tokenları
Eylül ayının başlarında gerçekleşen GhostAction tedarik zinciri saldırısı, teknoloji dünyasında büyük bir endişe yarattı. Python Software Foundation (PSF), bu saldırıda çalınan tüm PyPI tokenlarını geçersiz kıldığını ve kötü niyetli kişilerin bunları kullanarak malware (kötü amaçlı yazılım) yayımlamadığını doğruladı. PyPI (Python Package Index), Python’un paket yönetim araçları için temel kaynak olan yazılım havuzudur ve yüz binlerce paketi barındırmaktadır.
- GhostAction Tedarik Zinciri Saldırısı ve PyPI Tokenları
- Saldırının İlk Belirtileri ve Yanıt Süreci
- Tokenların Geçersiz Kılınması ve Kullanıcıların Korunması
- Kötü Amaçlı Çalışma Akışları ve Üzerinden Geçirilmiş Tokenlar
- Saldırının Daha Geniş Kapsamı ve Önlemler
- Geçmişteki Diğer Güvenlik Sorunları ve Phishing Kampanyası
- Sonuç Olarak Güvenliğin Önemi
Saldırının İlk Belirtileri ve Yanıt Süreci
Saldırı, 5 Eylül’de bir GitGuardian çalışanının, kötü niyetli GitHub Actions akışlarının (örneğin, FastUUID) PyPI tokenlarını uzaktaki bir sunucuya aktarmaya çalıştığını bildirmesi ile başladı. Aynı gün, başka bir GitGuardian araştırmacısı, PSF Güvenlik ekibine ilave bulgular içeren bir e-posta göndermiştir, ancak mesaj spam klasörüne düştüğünden dolayı olayın yanıt süreci gecikti.
10 Eylül’de, saldırının kapsamının tam olarak anlaşıldığında GitGuardian, etkilenen 570’ten fazla depo üzerinde GitHub sorunları açmış ve GitHub, npm ve PyPI güvenlik ekiplerini bilgilendirmiştir. Proje yöneticileri, GitGuardian tarafından bilgilendirildikten sonra PyPI tokenlarını yeniledi, aksiyon akışlarını geri aldı veya etkilenen akışları kaldırdı.
Tokenların Geçersiz Kılınması ve Kullanıcıların Korunması
PSF, araştırma sürecinde herhangi bir PyPI deposunun tehlikeye atıldığına dair bir kanıt bulamadı. Ancak saldırıdan etkilenen tüm tokenlar geçersiz kılındı ve proje sahipleriyle iletişime geçilerek hesaplarının korunmasına yardımcı olundu. GitGuardian, saldırı sırasında 3,300’den fazla gizli bilginin çalındığını tahmin etti. Bu gizli bilgiler arasında npm, DockerHub, GitHub, Cloudflare API tokenları, AWS erişim anahtarları ve veritabanı bilgileri yer almaktadır.
Kötü Amaçlı Çalışma Akışları ve Üzerinden Geçirilmiş Tokenlar
GitGuardian’ın yaptığı analiz, birden fazla paket ekosisteminde, özellikle Rust ve npm paketlerinde, tehlikeye atılmış tokenların olduğunu ortaya çıkardı. Saldırganların, birçok şirketin tüm SDK portföyünü tehlikeye attığı ve kötü niyetli akışların Python, Rust, JavaScript ve Go depolarını aynı anda etkilediği belirtildi.
Fiedler, PyPI paket bakımcılarına, GitHub Actions kullanıyorsanız uzun ömürlü tokenlar yerine kısa ömürlü Trusted Publishers tokenlarını kullanmalarını önerdi. Bu tür bir saldırıya karşı korunmak için bu değişikliklerin yapılması önem taşımaktadır.
Saldırının Daha Geniş Kapsamı ve Önlemler
Fiedler, PyPI hesaplarının tehlikeye atılmadığını doğruladıktan sonra, 15 Eylül’de etkilenen projelerin bakımcılarıyla iletişime geçti ve onların tokenlarının geçersiz kılındığını bildirdi. Aynı zamanda, gelecekte projelerini korumak adına Trusted Publishers kullanmalarını önerdi.
Saldırganlar, çok çeşitli depoları hedef almıştır ve birçok proje, PyPI tokenlarının GitHub gizli bilgileri olarak saklandığı tespit edilmiştir. Saldırganlar, bu tokenları dış sunuculara göndermek için akışlarını değiştirmiştir. Bazı tokenlar çalınıp dışarıya aktarılmış olmasına rağmen, PyPI üzerinde kullanılmadıkları görülmektedir.
Geçmişteki Diğer Güvenlik Sorunları ve Phishing Kampanyası
Ağustos ayında, saldırganlar Nx deposunun hatalı bir GitHub Actions akışından yararlanarak başka bir tedarik zinciri saldırısı gerçekleştirdi. Bu saldırının sonucunda 2,180 hesap ve 7,200 depo etkilendi. Ayrıca, PSF, bir ay önce kullanıcıları sahte PyPI web sitesi aracılığıyla kimlik bilgilerini çalmaya yönelik bir phishing kampanyası konusunda uyarmıştı.
Sonuç Olarak Güvenliğin Önemi
Bu olaylar, yazılım geliştirme süreçlerinde güvenliğin ne kadar kritik olduğunu göstermektedir. Özellikle token yönetimi ve GitHub Actions kullanımında daha dikkatli olunması gerekmektedir. Proje geliştirenlerin, güvenlik tarihlerini düzenli olarak gözden geçirmeleri ve olası şüpheli aktiviteleri takip etmeleri büyük önem taşımaktadır. Hazırlık ve önlemler, bu tür tedarik zinciri saldırılarına karşı direnci artıracaktır.
