10 Nisan 2024’te ortaya çıkarılan karmaşık bir siber saldırı kampanyasında siber suçlular, kripto para birimi cüzdanlarını hedef alan, “Keyzetsu Clipper” olarak bilinen özellikle sinsi bir kötü amaçlı yazılım biçimini dağıtmak için GitHub’un arama işlevinden yararlanıyor.
Bu yeni saldırı dalgası, siber suçluların gelişen taktiklerini öne çıkarıyor ve açık kaynak tedarik zincirlerinin güvenliğine ilişkin önemli endişeleri artırıyor.
Saldırganlar, GitHub’un arama sıralamasını değiştirmek için otomatik güncellemeler ve sahte popülerlik ölçümleri kullanarak, popüler adlar ve konuları içeren depoları ustalıkla oluşturdular.
Bu manipülasyon, kötü amaçlı depoların arama sonuçlarının en üstünde görünmesini sağlar ve şüphelenmeyen kullanıcıları kötü amaçlı yazılım yüklü kod indirmeye yönlendirir.
Saldırının Mekaniği
Bu saldırının temelinde GitHub’un arama işlevinin manipüle edilmesi yatıyor.
Checkmarx raporuna göre saldırganlar, genellikle popüler oyunlar, hileler veya araçlarla ilgili meşru projeleri taklit eden depolar oluşturarak kullanıcıların iyi huylu ve kötü amaçlı kod arasında ayrım yapmasını zorlaştırıyor.
Bu depolar, otomatik güncellemeler için GitHub Eylemlerinden yararlanarak potansiyel kurbanlara daha güvenilir ve çekici görünecek şekilde tasarlanmıştır; bu da onların arama sonuçlarındaki görünürlüğünü artırır.
Bu kampanyanın en endişe verici yönlerinden biri, kötü amaçlı kodu gizlemek için Visual Studio proje dosyalarının (.csproj veya .vcxproj) kullanılmasıdır.
Bu kod, proje oluşturulduğunda otomatik olarak yürütülecek şekilde tasarlanmıştır ve tespit etmeyi daha da zorlaştırır.
Ayrıca saldırganlar, kötü amaçlı yazılımı kurbanın coğrafi konumuna göre yükünü değiştirecek şekilde hazırladılar, ancak bu işlevsellik keşif sırasında etkinleştirilmemişti.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.
“Keyzetsu Kırpıcı” Tehdidi
Bu kampanyanın merkezinde yer alan ve “Keyzetsu Clipper” olarak adlandırılan kötü amaçlı yazılım, virüslü Windows makinelerinin panosunu ele geçirmek için tasarlandı.
Bu, kötü amaçlı yazılımın panoya kopyalanan kripto para birimi cüzdan adreslerini saldırganlar tarafından kontrol edilen adreslerle değiştirmesine olanak tanıyarak kripto para birimi işlemlerini etkili bir şekilde cüzdanlarına yönlendirir.
Kötü amaçlı yazılım, virüslü makinelerde kalıcılık oluşturarak, sistem yeniden başlatıldıktan sonra bile çalışmaya devam etmesini sağlar.
Bu saldırı, açık kaynak tedarik zincirinin doğasında bulunan güvenlik açıklarının, özellikle de kod paylaşımı ve işbirliği için GitHub gibi platformlara olan bağımlılığın altını çiziyor.
Kötü amaçlı yazılım dağıtmak için GitHub’un arama işlevinin akıllıca kullanılması, geliştiricileri ve daha geniş açık kaynak topluluğunu hedef alan siber saldırıların karmaşıklığında önemli bir artışı temsil ediyor.
Bu bulgulara yanıt olarak siber güvenlik uzmanları, geliştiricileri ve kullanıcıları GitHub’dan kod indirirken daha dikkatli olmaya çağırıyor.
Öneriler arasında depoların orijinalliğinin doğrulanması, proje dosyalarının olağandışı kod açısından incelenmesi ve bu tür tehditleri tespit edip etkisiz hale getirebilecek güçlü güvenlik çözümlerinin kullanılması yer alıyor.
Siber tehdit ortamı gelişmeye devam ederken, bu kampanyanın keşfedilmesi, açık kaynak ekosisteminde sürekli dikkatli olunması ve proaktif güvenlik önlemlerine duyulan ihtiyacın net bir şekilde hatırlatılmasına hizmet ediyor.
Açık kaynak geliştirmenin işbirlikçi doğası, en güçlü yönlerinden biri olsa da, bu tür karmaşık ve aldatıcı saldırılara karşı korunma konusunda benzersiz zorluklar da sunuyor.
Sonuç olarak, pano ele geçirmeye yönelik kötü amaçlı yazılımları dağıtmak için GitHub aramasının manipülasyonu, siber suç taktiklerinde önemli bir gelişmeye işaret ediyor ve dijital platformlardan yararlanmaya çalışan saldırganlar ile siber güvenlik topluluğunun bunları koruma çabaları arasında devam eden mücadeleyi vurguluyor.
SOC ve DFIR Ekiplerinden misiniz? – Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> Şimdi Ücretsiz Başlayın