Hileli proje güncellemelerini yayınlamak için GitHub’un Dependabot’unu taklit eden akıllı bir saldırıya göz atıyoruz.
GitHub, “ihlal edilen hesap ve kötü amaçlı kod” türü sorunlar yaşıyor. ITPro, isimsiz kişilerin hesapların güvenliğini ihlal ettiğini ve bunları şifre hırsızlığı yapabilen kötü amaçlı yazılım yüklemek için kullandığını bildiriyor. Bu, GitHub’un popüler Dependabot özelliğinin taklidini bile içeren, oldukça ayrıntılı bir dolandırıcılıktır.
Bu dolandırıcılığın işe yaraması için saldırganlar öncelikle hedeflerine ait erişim jetonlarını ele geçirdiler. Saldırganlar çalınan hesapların kontrolünü ele geçirdikten sonra, söz konusu hesapların takma adını “Dependabot” olarak değiştireceklerdir.[bot]”ve potansiyel olarak tehlikeli kod taahhütleri yapmaya başlayın.
GitHub diline aşina değilseniz endişelenmeyin. GitHub, geliştiricilerin proje kodlarını yönetebilecekleri yerdir. Hata takibi, yazılım özelliği talepleri, görev yönetimi ve her proje için wiki’ler kullanıcılara sunulmaktadır.
Bir geliştirici kodunu yazarken, sonunda yerel iş istasyonundan GitHub’ın hazırlama dizinine yayınlayabilir. Bu noktada “Commit” yapılır. Taahhüt, projenizin belirli bir anda var olan bir versiyonu olan “anlık görüntü” demenin başka bir yoludur.
Bu durumda saldırganlar, ele geçirdikleri projelere kötü amaçlı kod yerleştirir. Daha sonra ele geçirilen projeden sırları çalıp üsse geri gönderiyorlar. Ek olarak, projede zaten mevcut olan mevcut JavaScript dosyalarında kötü amaçlı yazılım eklemek için değişiklik yapılır. Söz konusu kötü amaçlı yazılım, form gönderimlerinden şifreleri çalmaya ve bunları saldırganlar tarafından çalıştırılan komuta ve kontrol sunucusuna göndermeye çalışacak. Çalınan tokenlar birçok özel depoya erişim sağladı, dolayısıyla hem kamu hem de özel projeler etkilendi.
Saldırganların başlangıçta nasıl giriş yaptığına bakıldığında, bazı hesapların çalıntı kişisel erişim tokenları tarafından ele geçirildiği tespit edildi. Bleeping Computer’ın belirttiği gibi, bu tokenlar geliştiricilerin iki faktörlü kimlik doğrulama (2FA) adımlarını kullanmak zorunda kalmadan GitHub’a erişmesine olanak tanıdı.
Geliştiricinin makinesinde yerel olarak depolanan tokenlar sayesinde, sistemi ele geçiren birinin bireysel GitHub hesaplarını ihlal etmek için gereken tokenleri kolayca ele geçirmesi mümkün. Bunun kötü amaçlı yazılım, sosyal mühendislik veya kimlik avı yoluyla elde edilmiş olup olmadığına bakılmaksızın, bu yazının yazıldığı sırada hiç kimse bu sorunun cevabını bilmiyor.
Bu kaçışın sinsi kısmı daha önce bahsettiğimiz Dependabot’un taklididir. GitHub’a yapılan bu yararlı ekleme, geliştiricilerin projelerini ve projeye bağlı tüm ilgili bağımlılıkları takip etmelerine yardımcı olur. Dependabot, bağımlılık güncelleme görevlerini otomatikleştirerek güvenlik sorunlarını uzak tutmaya yardımcı olur.
Yukarıda olup biten, saldırganların sahte güncellemelerini Dependabot’un görünümü altında gizledikleridir. Uzun bir süre GitHub’daysanız, Dependabot’un bir güncellemeyle ilgili olarak ortaya çıktığını görmek olağan bir durumdur. Sonuç olarak, bir sayfada Dependabot taklidini görmek, her şeyin yolunda olduğunu varsayan pek çok kişiyi kandıracaktır.
Taklit yardımcı mükemmel olmasa ve gerçeği tam olarak kopyalamasa da, bunun arkasındakiler yine de bazı ödüller kazanacak. Sahte Dependabot gönderilerine karşı dikkatli olmak istiyorsanız sahte etkinliğin en açık göstergesi profil avatarıdır. Dependabot’un kare bir profil resmi ve bir “bot” etiketi vardır. Normal hesapların dairesel bir avatarı vardır ve ayrıca bot etiketi göstergesini düzgün şekilde kopyalayamazlar.
Sahte taahhüt saldırıları çeşitli teknikler kullanılmadan önce de görülmüştür, ancak bot yardımcısını taklit etmek yenidir. Ayrıca, işleri güvende tutmaya adanmış bir GitHub işlevinin platform kullanıcılarının güvenliğini ciddi şekilde etkileyecek şekilde taklit edildiğini görmek de biraz ironik. Gelecekteki benzer saldırıların önlenmesine yardımcı olmak için GitHub’un Dependabot’u halihazırda olduğundan daha da belirgin hale getirmesi mümkün olabilir.
Orada güvende kalın!
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.