Eylül ayının başlarında gerçekleşen GhostAction tedarik zinciri saldırısı, teknoloji dünyasında büyük bir endişe yarattı. Python Software Foundation (PSF), bu saldırıda çalınan tüm PyPI tokenlarını geçersiz kıldığını ve kötü niyetli kişilerin bunları kullanarak malware (kötü amaçlı yazılım) yayımlamadığını doğruladı. PyPI (Python Package Index), Python’un paket yönetim araçları için temel kaynak olan yazılım havuzudur ve yüz binlerce paketi barındırmaktadır.

Saldırının İlk Belirtileri ve Yanıt Süreci

Saldırı, 5 Eylül’de bir GitGuardian çalışanının, kötü niyetli GitHub Actions akışlarının (örneğin, FastUUID) PyPI tokenlarını uzaktaki bir sunucuya aktarmaya çalıştığını bildirmesi ile başladı. Aynı gün, başka bir GitGuardian araştırmacısı, PSF Güvenlik ekibine ilave bulgular içeren bir e-posta göndermiştir, ancak mesaj spam klasörüne düştüğünden dolayı olayın yanıt süreci gecikti.

10 Eylül’de, saldırının kapsamının tam olarak anlaşıldığında GitGuardian, etkilenen 570’ten fazla depo üzerinde GitHub sorunları açmış ve GitHub, npm ve PyPI güvenlik ekiplerini bilgilendirmiştir. Proje yöneticileri, GitGuardian tarafından bilgilendirildikten sonra PyPI tokenlarını yeniledi, aksiyon akışlarını geri aldı veya etkilenen akışları kaldırdı.

Tokenların Geçersiz Kılınması ve Kullanıcıların Korunması

PSF, araştırma sürecinde herhangi bir PyPI deposunun tehlikeye atıldığına dair bir kanıt bulamadı. Ancak saldırıdan etkilenen tüm tokenlar geçersiz kılındı ve proje sahipleriyle iletişime geçilerek hesaplarının korunmasına yardımcı olundu. GitGuardian, saldırı sırasında 3,300’den fazla gizli bilginin çalındığını tahmin etti. Bu gizli bilgiler arasında npm, DockerHub, GitHub, Cloudflare API tokenları, AWS erişim anahtarları ve veritabanı bilgileri yer almaktadır.

Kötü Amaçlı Çalışma Akışları ve Üzerinden Geçirilmiş Tokenlar

GitGuardian’ın yaptığı analiz, birden fazla paket ekosisteminde, özellikle Rust ve npm paketlerinde, tehlikeye atılmış tokenların olduğunu ortaya çıkardı. Saldırganların, birçok şirketin tüm SDK portföyünü tehlikeye attığı ve kötü niyetli akışların Python, Rust, JavaScript ve Go depolarını aynı anda etkilediği belirtildi.

Fiedler, PyPI paket bakımcılarına, GitHub Actions kullanıyorsanız uzun ömürlü tokenlar yerine kısa ömürlü Trusted Publishers tokenlarını kullanmalarını önerdi. Bu tür bir saldırıya karşı korunmak için bu değişikliklerin yapılması önem taşımaktadır.

Saldırının Daha Geniş Kapsamı ve Önlemler

Fiedler, PyPI hesaplarının tehlikeye atılmadığını doğruladıktan sonra, 15 Eylül’de etkilenen projelerin bakımcılarıyla iletişime geçti ve onların tokenlarının geçersiz kılındığını bildirdi. Aynı zamanda, gelecekte projelerini korumak adına Trusted Publishers kullanmalarını önerdi.

Saldırganlar, çok çeşitli depoları hedef almıştır ve birçok proje, PyPI tokenlarının GitHub gizli bilgileri olarak saklandığı tespit edilmiştir. Saldırganlar, bu tokenları dış sunuculara göndermek için akışlarını değiştirmiştir. Bazı tokenlar çalınıp dışarıya aktarılmış olmasına rağmen, PyPI üzerinde kullanılmadıkları görülmektedir.

Geçmişteki Diğer Güvenlik Sorunları ve Phishing Kampanyası

Ağustos ayında, saldırganlar Nx deposunun hatalı bir GitHub Actions akışından yararlanarak başka bir tedarik zinciri saldırısı gerçekleştirdi. Bu saldırının sonucunda 2,180 hesap ve 7,200 depo etkilendi. Ayrıca, PSF, bir ay önce kullanıcıları sahte PyPI web sitesi aracılığıyla kimlik bilgilerini çalmaya yönelik bir phishing kampanyası konusunda uyarmıştı.

Sonuç Olarak Güvenliğin Önemi

Bu olaylar, yazılım geliştirme süreçlerinde güvenliğin ne kadar kritik olduğunu göstermektedir. Özellikle token yönetimi ve GitHub Actions kullanımında daha dikkatli olunması gerekmektedir. Proje geliştirenlerin, güvenlik tarihlerini düzenli olarak gözden geçirmeleri ve olası şüpheli aktiviteleri takip etmeleri büyük önem taşımaktadır. Hazırlık ve önlemler, bu tür tedarik zinciri saldırılarına karşı direnci artıracaktır.

Güncel Siber Güvenlik Haberleri – 2

Son dönemde yazılım geliştirme topluluğunu tehdit eden önemli bir olay meydana geldi. GhostAction adı verilen bir tedarik zinciri saldırısı, GitHub üzerinde 3,325 gizli bilgiyi açığa çıkardı. Bu gizli bilgiler, PyPI, npm, DockerHub, GitHub tokenları, Cloudflare ve AWS anahtarları gibi kritik verileri içermektedir. Bu olay, yazılım güvenliği alanında önemli bir endişe kaynağı olarak öne çıkmakta.

Saldırının Ortaya Çıkışı

Saldırı, GitGuardian araştırmacıları tarafından keşfedildi. İlk saldırı belirtilerinin, etkilenen projelerden biri olan FastUUID üzerinde 2 Eylül 2025 tarihinde görünür hale geldiği bildirildi. Saldırının temelinde, etkisi altına alınan bakımcı hesaplarının kullanılması yatmaktadır. Bakımcı hesapların kullanılmasıyla birlikte, otomatik olarak ‘push’ ya da manuel olarak başlatılan zararlı bir GitHub Actions iş akış dosyası eklendi.

Bu iş akışı, tetiklendiğinde projenin GitHub Actions ortamından gizli bilgileri okumakta ve onları saldırganın kontrolündeki harici bir alan adına göndermekte. FastUUID örneğinde, GitGuardian, saldırganların projenin PyPI tokenını çaldığını belirtmiştir. Ancak, saldırı keşfedilmeden önce paket kayıt defterinde zararlı herhangi bir paket yayınlanmamıştır.

Saldırının Kapsamı

Saldırıyla ilgili daha derin bir araştırma, GhostAction kampanyasının kapsamının çok daha geniş olduğunu ortaya koymuştur. Araştırmacılara göre, GhostAction kampanyası, en az 817 depoda benzer taahhüdü enjekte etmiş olup, tüm gizli bilgileri aynı sona yönlendirmektedir. Saldırganlar, meşru iş akışlarından gizli isimleri belirleyerek, bu isimleri kendi iş akışlarına zorla yerleştirmiştir.

GitGuardian, kampanyanın tam kapsamını 5 Eylül tarihinde açığa çıkardıktan sonra, etkilenen 573 depoda GitHub problemleri oluşturarak GitHub, npm ve PyPI güvenlik ekiplerine doğrudan bildirimde bulunmuştur. Bu süreçte, yüzlerce GitHub deposu zaten saldırıyı tespit edip zararlı değişiklikleri geri almıştır.

Çalınan Gizli Bilgiler

Araştırmacılar, GhostAction kampanyası sonucunda yaklaşık 3,325 gizli bilginin çalındığını tahmin etmektedir. Bu gizli bilgiler, PyPI tokenları, npm tokenları, DockerHub tokenları, GitHub tokenları, Cloudflare API tokenları, AWS erişim anahtarları ve veritabanı kimlik bilgileri gibi kritik verileri içerir. Bu durum, yazılım geliştirme topluluğunda büyük bir güvenlik açığına işaret etmektedir.

Kötü Amaçlı Paketler Tehditi

Saldırının doğrudan etkilediği en az dokuz npm ve on beş PyPI paketi bulunmaktadır. Bu paketler, sızdırılmış olan gizli bilgileri kullanarak zararlı ya da trojanlaştırılmış versiyonlar yayınlayabilir. GitGuardian, Rust crate ve npm paketleri gibi çok sayıda paket ekosisteminde kompremize tokenlar bulunduğunu açıklamıştır. Birçok şirketin, Python, Rust, JavaScript ve Go gibi dillerdeki SDK portföylerinin tamamının tehlikeye atıldığı tespit edilmiştir.

Geçmiş Olaylarla Bağlantı

GhostAction kampanyası, Ağustos ayının sonlarında patlak veren s1ngularity kampanyası ile bazı pratik ve teknik benzerliklere sahip olmasına rağmen, GitGuardian bu iki operasyon arasında bir bağlantı olmadığına inanmaktadır. Gerçekten de her iki saldırı da yazılım geliştirme süreçlerini hedef almasına rağmen, farklı metodolojilerle gerçekleştirilmektedir.

Sonuç Olarak

Bu tür saldırılar, yazılım geliştirme süreçlerinin güvenliğine yönelik ciddi tehditler oluşturmaktadır. Yazılım geliştiricilerin, gizli bilgilerini koruma konusunda daha dikkatli olması ve düzenli güvenlik denetimleri yapması şarttır. Ayrıca, açık kaynak yazılımların güvenirliğini artırmak için topluluk içerisinde bilgi paylaşımı ve iş birliği büyük önem taşımaktadır. Yazılım güvenliği alanındaki bu tür olaylar, siber güvenlik önlemlerinin güçlendirilmesi gerektiğinin altını çizmektedir.

Güncel Siber Güvenlik Haberleri – 2