Zehirli bir VS Code eklentisi GitHub’ın 3.800 iç deposunu çaldı

GitHub, iç depolarına yapılan yetkisiz erişimi soruşturuyor ve bir saldırganın bunlardan yaklaşık 3.800’inden veri çıkarmayı başardığını doğruluyor. Sızma, bir çalışan tarafından kurulan zehirli bir Visual Studio Code eklentisi üzerinden geldi; saldırgana o makineye ve oradan da şirketin kendi duvarlarının arkasında kalması gereken iç koda erişim sağladı.

GitHub’ın işaret ettiği sınır, yani iç depolar ile müşteriye dönük platform arasındaki sınır, kontrol altına alınmış bir olay ile küresel bir tedarik zinciri acil durumu arasındaki tek şey. GitHub yaklaşık 100 milyon geliştiriciye ve modern internetin ayakta durduğu açık kaynak kodun önemli bir kısmına ev sahipliği yapıyor. Şirket “iç” derken kendi platform kodunu, kendi araçlarını, operasyonel yapılandırmasını, GitHub’ın kendisini inşa edip işlettiği malzemeyi kastediyor. Müşteri kuruluşları, şirketler ve bu müşterilerin GitHub üzerinde tuttuğu genel ve özel depolar, şirketin kendi ifadesine göre bu sızmanın etki yarıçapının dışında.

Bu ayrım, şirketin resmi X hesabında yayımladığı açıklamada büyük bir yük taşıyor. “Şu anda GitHub’ın iç depoları dışında saklanan müşteri bilgilerinin etkilendiğine dair bir kanıtımız bulunmasa da”, deniyor metinde, “altyapımızı olası takip faaliyetleri için yakından izliyoruz”. İfade tartışmasız net ve bir ihlal duyurusundaki netlik genellikle soruşturmanın hâlâ devam ettiği anlamına gelir. “Etki kanıtı yok” ifadesi “etki yok” ifadesiyle aynı değil. Büyük platformlardaki olaylar, adli analiz saldırganın faaliyetine yetiştikçe büyüme eğilimindedir; iç ve müşteriye dönük sistemler arasındaki çizgi de nadiren temiz fiziksel bir duvardır. Tek tek değerlendirilmesi gereken erişim kontrolleri, kimlik bilgileri ve servis hesaplarından oluşan bir kümedir.

Bunlar da ilginizi çekebilirDestiny 2, Renegades Genişlemesinde Lucasfilm Games İş Birliğini Resmen Açıkladı

Mekanizma, bu hikâyenin her geliştiriciyi endişelendirmesi gereken kısmı. Visual Studio Code, neredeyse her büyük mühendislik kuruluşunda kullanılan, gezegenin baskın kod düzenleyicisi. Eklenti mağazası topluluk güvenine dayanıyor: isteyen herkes yayımlayabiliyor ve mühendislerin çoğu eklentileri, tarayıcıya yer imi ekler gibi bir aldırmazlıkla kuruyor. Bu kanal üzerinden teslim edilip bir geliştirici makinesinde çalışan zehirli bir eklenti, saldırgana o geliştiricinin oturumunun ulaşabildiği her şeye erişim veriyor: depolar, jetonlar, paket kayıt sistemleri, iç servisler. Bu vakada kullanılan eklentinin somut adı henüz kamuoyuyla paylaşılmadı, ama örüntü yeni değil. Geliştirici araçlarının popüler eklentisi Nx Console da benzer bir tehlikeye uğramıştı.

Kendine TeamPCP adını veren grup sızmayı üstlendi ve veri setini, asgari elli bin dolardan başlayan bir fiyatla yer altı forumlarında satışa çıkardı. Grubun ifadesi olan “bu bir fidye değil” başlı başına bir sinyal. Doğrudan GitHub’a şantaj yapmaya çalışmıyorlar. Çalınmış iç kaynak koduna, diğer suçluların kredi kartı dökümlerine davrandığı gibi davranıyorlar: alıcısı olan bir meta. O 3.800 depoluk arşivin sonunda kimin eline geçeceği, bu arşivi gömülü kimlik bilgileri, koda gömülü sırlar, GitHub’ın kendi altyapısına saldırı için yararlı ayrıntılar ve aşağı yönlü hedefleri tehlikeye atmaya yarayacak her şey için tarayacak. Aynı grup, PyPI üzerindeki durabletask paketini vuran Mini Shai-Hulud solucanıyla da ilişkilendiriliyor; bu da hikâyenin gerçek arka planını öne çıkarıyor: yazılım geliştirme tedarik zincirine yönelik saldırılar teorik senaryodan operasyonel zanaata geçti.

GitHub’ın kendi tarifine göre kontrol altına alma yanıtı hızlıydı. Ele geçirilmiş cihaz izole edildi. Zararlı eklenti kaldırıldı. Şirket, kritik sırları, en yüksek etkili kimlik bilgilerine öncelik vererek döndürdüğünü ve soruşturma genişlerse etkilenen müşterileri köklü olay müdahale kanallarından bilgilendireceğini söylüyor. Microsoft’a bağlı bu kuruluş, cihazı ele geçirilen GitHub çalışanının kim olduğunu açıklamadı, eklentinin adını vermedi ve saldırganın tespit edilmeden önce ne kadar süre erişim sahibi olduğuna ilişkin kesin bir pencere paylaşmadı. Bu ayrıntılar genellikle ilk açıklamadan haftalar sonra gelen daha uzun olay sonrası raporda ortaya çıkar.

Sektörün geri kalanı için pratik ders, tehdit istihbaratının ambalajının düşündürdüğünden daha basit. Her mühendislik kuruluşu, aynı olaydan yalnızca dikkatsiz bir eklenti kurulumu uzaklıkta. Bir forum başlığında önerilen bir VS Code eklentisini kuran herkes, bir GitHub çalışanının başına gelen riskin aynısını üstlendi. İşe yarayan savunmalar biliniyor ve eşitsiz biçimde uygulanıyor: eklenti kurulumlarını doğrulanmış bir izin listesiyle sınırlamak, geliştirici iş istasyonlarını üretim kimlik bilgilerinden ayırmak, sırları hızlı bir kadansla döndürmek. Bu ihlal, bunları ertelemiş şirketlerin önceliklendirme listelerinde yukarı itecek.

GitHub tam kapsamlı kamuya açık post-mortem için bir takvim vermedi. Bu büyüklükteki platformlarda bu ölçekteki soruşturmalar tam kapsamını ortaya koymak için genellikle birkaç hafta sürer ve güncellemeler şirketin resmi kanallarından üretildikçe gelecek. İzlenecek bir sonraki şey, 3.800 depoluk arşivin satışta gerçekten görünüp görünmeyeceği ve yer altı pazarı dizini birkaç gün inceledikten sonra taban fiyatın nereye kayacağı.

Buna benzer içerikler

Bir yapay zekâ çalışan bir zero-day exploit yazdı — Google önce yakaladı

Roland-Garros eSeries ve dijital spor kültüründe mobil esporun yükselişi

Google’ın Gemini Spark’ı dizüstü kapatıldıktan sonra da çalışmaya devam ediyor — ücretli beta 26 Mayıs haftası başlıyor

Torchlight: Infinite, tarihi oyuncu rekorundan üç ay sonra 12. sezonunu başlatıyor

Maestro: VR Orkestra Şefliği Oyunu, Star Wars DLC’si ile Genişliyor ve PSVR2’ye Geliyor

StoneHold Tanıtıldı: Aksiyon MOBA ve Koleksiyonluk Kart Oyunu Hibriti