McAfee siber güvenlik araştırmacıları, tehdit aktörlerinin kötü amaçlı yazılım barındırdığı ve indirme bağlantılarını meşru Microsoft depoları olarak gizlediği GitHub’un yorum bölümünden yararlanan kötü amaçlı bir plan keşfetti.
Bu olay bana Haziran 2027’de meydana gelen benzer bir olayı hatırlattı; bu sırada Rus bilgisayar korsanları, Britney Spears’ın Instagram profilinin yorum bölümünü kötü amaçlı yazılım barındırmak için kullandı.
McAfee’ye göre siber suçlular, Şubat 2024’ten beri GitHub’ın dosya yükleme mantığını kullanarak kötü amaçlı yazılımları, depo sahibinin adını ve sahiplik ayrıntılarını içeren otomatik olarak oluşturulan indirme bağlantıları aracılığıyla barındırıyor ve dağıtıyor.
Bu depolar, görünüşte zararsız dosyalar gibi görünen, parola çalan kötü amaçlı yazılımlar içerir. Daha da kötüsü, veri havuzları, resmi Microsoft yazılım deposu URL’lerini taklit edecek şekilde hazırlanmış indirme bağlantılarını içeren yorumları da içeriyordu.
GitHub’un yorum özelliği, dosyaları sunucularında saklayarak onlara gerçek zamanlı erişim bağlantıları oluşturur. Bu, potansiyel kurbanların güvenilir bir geliştiriciden gelen bir bağlantıya tıkladıklarını düşünmelerini sağlayabilir. Dosya zaten yüklenmiş ve mevcut olduğundan kullanıcıların yorum veya hata raporu göndermesine gerek yoktur.
Bu konuda ne yapmalı?
GitHub’un CDN dosyaları, yorumlar gönderildikten veya silindikten sonra bile değişmeden kalır ve indirilen URL’ler çalışmaya devam eder. Çoğu yazılım şirketi GitHub kullandığından ve dosya URL’si depo adını içerdiğinden, bu sorun tehdit aktörlerinin karmaşık tuzaklar oluşturmasına olanak tanıyor.
Ne yazık ki mevcut tek çözüm yorumları devre dışı bırakmaktır, ancak yasal kullanıcılar sıklıkla hataları bildirdiğinden veya kalite önerileri sunduğundan bu daha fazla soruna yol açar ve yorumlar bir seferde yalnızca altı aya kadar devre dışı bırakılabilir.
Bu Neden Önemlidir:
Bu aldatıcı taktik, hem GitHub’un hem de Microsoft’un güvenilir doğasından yararlanıyor. Bu depoları ziyaret eden kullanıcılar, meşru Microsoft yazılımı aldıklarına inanılarak kandırılarak kötü amaçlı yazılım indirmeye yönlendirilebilirler.
İndirilen kötü amaçlı yazılımlar kullanıcı kimlik bilgilerini çalabileceği, sistemleri tehlikeye atabileceği, tarama verilerini ve kripto fonlarını çalabileceği veya daha fazla saldırı başlatabileceği için bunun ciddi sonuçları olabilir.
Ancak iyi haber şu ki Bleeping Computer’a göre GitHub, Microsoft’un depolarıyla ilişkili kötü amaçlı yazılımları kaldırdı.
Kendinizi Nasıl Korursunuz?
Kendinizi korumak için yazılımı doğrudan geliştiricinin resmi web sitesinden indirin, yorumlardaki veya üçüncü taraf web sitelerindeki bağlantılara tıklamaktan kaçının, dosya karmalarını doğrulayın ve gerçek zamanlı kötü amaçlı yazılım taramasına sahip güçlü bir güvenlik çözümü kullanın. İndirme bağlantısından emin değilseniz sistem güvenliğini sağlamak için resmi Microsoft web sitesini ziyaret edin.
Cofense Siber İstihbarat Ekip Yöneticisi Max Gannon konu hakkında şunları söyledi: “Bu, tehdit aktörlerinin yararlanabileceği çok akıllıca bir taktik; özellikle de GitHub’un şirketlere tehdidi azaltması için hiçbir yol sağlamaması nedeniyle.“
“Yapılabilecek tek şey, bireylerin herhangi bir bağlantıya tıklarken, bağlantının nereye gittiğine veya kimden geldiğine bakılmaksızın dikkatli olmalarıdır.“ Örneğin, durup düşündüyseniz, hile yazılımı içeren bir .zip dosyasının doğrudan bir Microsoft deposunda barındırılması pek olası değildir,“ Max açıkladı.
İLGİLİ KONULAR
- Uyarı: Kötü Amaçlı Yazılımları PoC Olarak Sunan Sahte GitHub Depoları
- Dependabot Katkılarının GitHub’a Ulaşmasıyla Kötü Amaçlı Yazılım Gizlendi
- Sahte GitHub Depoları Kötü Amaçlı Yazılımları PoC Olarak Bırakırken YİNE Yakalandı!