Dev Sızıntı: GitHub İç Depoları Satışa Çıkarıldı
Karanlık ağdaki hareketliliği izleyen platformlardan sızan ekran görüntülerine göre, TeamPCP grubu ilk olarak GitHub’a ait yaklaşık 4.000 kaynak kod deposunu 50.000 dolara satışa sundu. Kısa süre sonra operasyona dahil olan ünlü hacker grubu LAPSUS$, fiyatı 95.000 dolara yükselterek ortak bir ilan açtı.
Siber suçlular yaptıkları açıklamada şu ifadeleri kullandı:
"Bu bir fidye saldırısı değildir. GitHub ile pazarlık yapmak ya da onlara şantaj uygulamakla ilgilenmiyoruz. Tek bir alıcıya satacağız ve ardından kendi tarafımızdaki veriyi tamamen yok edeceğiz. Eğer alıcı çıkmazsa, tüm veriyi ücretsiz olarak sızdıracağız."
Saldırı Nasıl Gerçekleşti?
GitHub’dan yapılan resmi açıklamaya göre, bir şirket çalışanının bilgisayarı, popüler yazılım geliştirme aracı Microsoft Visual Studio Code (VS Code) için hazırlanmış "zehirli bir eklenti" vasıtasıyla ele geçirildi. Hackerlar bu sızma sayesinde içerideki kritik yetkilendirme şifrelerini (secret) topladı.
Neler Çalındı?
Güvenlik uzmanlarının aktardığı bilgilere göre çalınan veriler arasında şu kritik yapılar bulunuyor:
- GitHub Copilot (Yapay zeka asistanı) iç projeleri,
- GitHub Actions ve Codespaces altyapı kodları,
- Platformdaki tüm organizasyonları ve "kod birleştirme taleplerini" (Pull Requests) yöneten ana yazılım mekanizmaları.
GitHub, mevcut incelemelere göre harici müşteri veritabanlarının zarar görmediğini ve tüm kritik şifrelerin hızla değiştirildiğini (rotasyon) duyurdu.
Şirket Altyapılarını Vuran Akıllı Solucan: "Mini Shai-Hulud"
GitHub sızıntısıyla aynı anda devreye giren bir diğer tehlike ise yazılımcıların sıklıkla kullandığı PyPI (Python Paket Endeksi) platformunda patlak verdi. Saldırganlar, ele geçirdikleri şifreleri kullanarak Microsoft’un resmi bulut iş akışı paketlerinden biri olan **durabletask** paketinin yönetimini ele geçirdi.
Paketin 1.4.1, 1.4.2 ve 1.4.3 sürümlerine yerleştirilen gizli zararlı kod, dünya genelinde ayda ortalama 417.000 kez indirilen bu yazılımın içerisine sızmış durumda.
Sisteme Girdiği An Görünmez Oluyor
Uzmanlar, zararlı yazılımın kod projesine dahil edildiği (import) an arka planda hiçbir hata veya uyarı vermeden otomatik olarak çalışmaya başladığını belirtiyor. Yazılımcıların veya sistem yöneticilerinin durumdan şüphelenmesi neredeyse imkansız.
Bulutta Yatay Yayılım ve Sabotaj Riski
Yalnızca Linux işletim sistemlerinde çalışan bu tehlikeli yazılım, sızdığı sunucularda adeta bir casus gibi hareket ediyor. Sistemdeki şifre yöneticilerini (1Password, Bitwarden), SSH anahtarlarını, Docker ve VPN yapılandırmalarını çalıyor.
Zararlıyı asıl tehlikeli kılan ise bulut altyapılarındaki "kendi kendine yayılma" (Lateral Movement) yeteneği:
- AWS (Amazon Web Services) Altyapısında: AWS Systems Manager (SSM) servisinin açıklarını kullanarak, aynı ağdaki diğer sanal sunuculara (EC2) kendini otomatik kopyalıyor.
- Kubernetes (K8s) Altyapısında: Sistem komutlarını (
kubectl exec) taklit ederek konteynerler ve podlar arasında sıçrama yapıyor.
Gizli "Yok Etme" Komutu!
Yazılımın kod analizinde tüyler ürpertici bir detay daha keşfedildi. Eğer sızılan sunucunun bölge/dil ayarlarında İsrail veya İran tespit edilirse, yazılımın 6'da 1 ihtimalle (Rus ruleti gibi) bilgisayardan bir ses dosyası oynattığı ve hemen ardından **rm -rf /*** komutunu tetikleyerek sunucunun içindeki tüm işletim sistemini ve verileri kalıcı olarak sildiği belirlendi.
Uzmanlardan Acil Eylem Çağrısı
Güvenlik analistleri, son günlerde projelerinde durabletask Python paketini kullanan, güncelleme yapan veya otomatik entegrasyon (CI/CD) süreçlerini çalıştıran tüm şirketlerin "tamamen ele geçirilmiş" kabul edilmesi gerektiğini vurguluyor.
Şirketlerin acilen ilgili paketleri sistemlerinden kaldırması, AWS ve Kubernetes erişim anahtarlarını sıfırlaması ve siber risk taraması başlatması öneriliyor.
Kaynakça / Referanslar
- GitHub Olay Durumu ve Açıklamalar: GitHub Resmi X (Twitter) Analiz Raporu & Kurumsal İletişim Kanalı
- Zararlı Paket ve Tedarik Zinciri Analizi: Wiz Security (Google Cloud) Tehdit İstihbaratı Raporu
- Karanlık Ağ İstihbaratı ve Ekran Görüntüleri: Dark Web Informer Global Siber Tehdit Takip Platformu
- Bulut Altyapısı ve Yatay Yayılım İncelemeleri: Aikido Security & StepSecurity Bulut Güvenliği Ortak Teknik Analizi
- FIRESCALE Mekanizması ve C2 Tespiti: Hunt.io Siber Tehdit Avcılığı Veritabanı
- İndirme İstatistikleri ve Etki Analizi: SafeDep & Endor Labs Açık Kaynak Güvenliği Araştırma Raporları
