Gündem

SİBER ALARM: GitHub Kaynak Kodları Karanlık Ağda Satışta, Gelişmiş Bulut Solucanı AWS ve Kubernetes Altyapılarını Tehdit Ediyor!

GitHub kaynak kodlarının karanlık ağda satışa çıkmasıyla başlayan siber kriz, bulut altyapılarını kendi kendine enfekte eden "Mini Shai-Hulud" solucanı ile dev bir küresel tehdide dönüştü. AWS ve Kubernetes kullanan şirketler acil alarmda!

SİBER ALARM: GitHub Kaynak Kodları Karanlık Ağda Satışta, Gelişmiş Bulut Solucanı AWS ve Kubernetes Altyapılarını Tehdit Ediyor!

Dev Sızıntı: GitHub İç Depoları Satışa Çıkarıldı

Karanlık ağdaki hareketliliği izleyen platformlardan sızan ekran görüntülerine göre, TeamPCP grubu ilk olarak GitHub’a ait yaklaşık 4.000 kaynak kod deposunu 50.000 dolara satışa sundu. Kısa süre sonra operasyona dahil olan ünlü hacker grubu LAPSUS$, fiyatı 95.000 dolara yükselterek ortak bir ilan açtı.

Siber suçlular yaptıkları açıklamada şu ifadeleri kullandı:

"Bu bir fidye saldırısı değildir. GitHub ile pazarlık yapmak ya da onlara şantaj uygulamakla ilgilenmiyoruz. Tek bir alıcıya satacağız ve ardından kendi tarafımızdaki veriyi tamamen yok edeceğiz. Eğer alıcı çıkmazsa, tüm veriyi ücretsiz olarak sızdıracağız."

Saldırı Nasıl Gerçekleşti?

GitHub’dan yapılan resmi açıklamaya göre, bir şirket çalışanının bilgisayarı, popüler yazılım geliştirme aracı Microsoft Visual Studio Code (VS Code) için hazırlanmış "zehirli bir eklenti" vasıtasıyla ele geçirildi. Hackerlar bu sızma sayesinde içerideki kritik yetkilendirme şifrelerini (secret) topladı.

Neler Çalındı?

Güvenlik uzmanlarının aktardığı bilgilere göre çalınan veriler arasında şu kritik yapılar bulunuyor:

GitHub, mevcut incelemelere göre harici müşteri veritabanlarının zarar görmediğini ve tüm kritik şifrelerin hızla değiştirildiğini (rotasyon) duyurdu.

Şirket Altyapılarını Vuran Akıllı Solucan: "Mini Shai-Hulud"

GitHub sızıntısıyla aynı anda devreye giren bir diğer tehlike ise yazılımcıların sıklıkla kullandığı PyPI (Python Paket Endeksi) platformunda patlak verdi. Saldırganlar, ele geçirdikleri şifreleri kullanarak Microsoft’un resmi bulut iş akışı paketlerinden biri olan **durabletask** paketinin yönetimini ele geçirdi.

Paketin 1.4.1, 1.4.2 ve 1.4.3 sürümlerine yerleştirilen gizli zararlı kod, dünya genelinde ayda ortalama 417.000 kez indirilen bu yazılımın içerisine sızmış durumda.

Sisteme Girdiği An Görünmez Oluyor

Uzmanlar, zararlı yazılımın kod projesine dahil edildiği (import) an arka planda hiçbir hata veya uyarı vermeden otomatik olarak çalışmaya başladığını belirtiyor. Yazılımcıların veya sistem yöneticilerinin durumdan şüphelenmesi neredeyse imkansız.

Bulutta Yatay Yayılım ve Sabotaj Riski

Yalnızca Linux işletim sistemlerinde çalışan bu tehlikeli yazılım, sızdığı sunucularda adeta bir casus gibi hareket ediyor. Sistemdeki şifre yöneticilerini (1Password, Bitwarden), SSH anahtarlarını, Docker ve VPN yapılandırmalarını çalıyor.

Zararlıyı asıl tehlikeli kılan ise bulut altyapılarındaki "kendi kendine yayılma" (Lateral Movement) yeteneği:

Gizli "Yok Etme" Komutu!

Yazılımın kod analizinde tüyler ürpertici bir detay daha keşfedildi. Eğer sızılan sunucunun bölge/dil ayarlarında İsrail veya İran tespit edilirse, yazılımın 6'da 1 ihtimalle (Rus ruleti gibi) bilgisayardan bir ses dosyası oynattığı ve hemen ardından **rm -rf /*** komutunu tetikleyerek sunucunun içindeki tüm işletim sistemini ve verileri kalıcı olarak sildiği belirlendi.

Uzmanlardan Acil Eylem Çağrısı

Güvenlik analistleri, son günlerde projelerinde durabletask Python paketini kullanan, güncelleme yapan veya otomatik entegrasyon (CI/CD) süreçlerini çalıştıran tüm şirketlerin "tamamen ele geçirilmiş" kabul edilmesi gerektiğini vurguluyor.

Şirketlerin acilen ilgili paketleri sistemlerinden kaldırması, AWS ve Kubernetes erişim anahtarlarını sıfırlaması ve siber risk taraması başlatması öneriliyor.

Kaynakça / Referanslar

Author

AltaySec Medya

Siber güvenlik operasyonları ve Red Team kültürü içerisinde bilgi yönetimi yapan çekirdek yayın ekibi. #OffensiveKnowledge