Meşru bir GitHub deposunda “sarkan taahhütler” aracılığıyla şüphesiz kullanıcıları hedefleyen sofistike bir kötüverizasyon kampanyası ortaya çıkarıldı.
Saldırganlar, sahte bir GitHub masaüstü yükleyicisi için promosyon içeriği popüler geliştirme ve açık kaynak projelerine enjekte ediyor.
Kullanıcılar gerçek istemci gibi görünen şeyleri indirdiğinde, yükleyici sessizce arka planda kötü amaçlı yükler sunar ve hemen şüphe yaratmadan sistemleri uzlaştırır.
Güvenlik araştırmacıları ilk olarak kampanyayı olağandışı reklam yönlendirmeleri için web trafiğini izlerken gözlemledi.
Kötüverenlik pankartlarına tıklayan kurbanlar, güncellenmiş bir GitHub masaüstü istemci derlemesi sunan ödün verilen sayfalara yönlendirildi.
Resmi yükleyiciyi almak yerine, bu sayfalar “Githubdesktopsetup-x64.exe” gibi bir damlalık sundu. Droper’ın yürütülmesi çok aşamalı bir işlemi tetikler: Bir Windows komut dosyası ana bilgisayar (wscript.exe) komut dosyası başlatır, bu da PowerShell komutlarını svchost.exe üzerinden kötü amaçlı bir DLL yük yükünü yüklemek ve çalıştırmak için yürütür.
Yük, bir komut ve kontrol (C2) sunucusu ile kalıcı iletişim kurar, bu da kurumsal ortamlarda uzaktan kod yürütme, veri eksfiltrasyonu ve potansiyel yanal hareket sağlar.
Araştırmacılar, saldırganların görünüşte iyi huylu süreçlere kodlanmış PowerShell komutlarını yerleştirerek sofistike şaşkınlık teknikleri kullandığını belirtti.
Kalıcılık için planlanan görevler (schtasks.exe) gibi meşru süreç adlarını ve pencere mekanizmalarından yararlanarak, cloued yürütme için svchost.exe, ortak uç nokta tespiti ve yanıt (EDR) çözümlerinden kaçınır.
Mağdurlar, beklenmedik ağ bağlantıları veya kaynak tüketim ani artışları gibi anormallikler ortaya çıkana kadar tehlikeye girdiklerini fark etmeyebilirler.
Github altyapısının yenilikçi kullanımı
Bu kampanya, Github’ın güvenilirlik oluşturmak için kendi platformunu yenilikçi bir şekilde kötüye kullanıyor. Meşru katkıda bulunanlar tarafından itilen kodun her zamanlı veya yetim kodlu sürümleri – saldırganlar, kötü niyetli tanıtım içeriğinin yerleşik bir proje bağlamında göründüğünden emin olarak sarkan taahhütleri hedefleyerek.
Depo güncellemelerini gören kullanıcılar kaynağa güvenir ve yükleyiciyi indirir ve farkında olmadan enfeksiyon zincirini başlatır.
Araştırmacılar, sarkan taahhütlerin birincil şube geçmişlerinde görünmedikleri için geleneksel depo izlemesini atlayabileceğini vurgulamaktadır.
Saldırganlar bu kör noktayı projenin ReadMe veya sürüm notlarındaki kötü niyetli bağlantılar dikmek için kullanıyor.
Depo ziyaretçileri indir düğmeleri tıkladığında, bunun yerine saldırganın kontrolü altında harici barındırmaya yönlendirilirler.
Kapsayıcı hedef, kimlik bilgilerini toplayabilen, kripto para birimi madencilerinin dağıtılabilmesi veya ek istismar modülleri sağlayabilen bir arka kapının yaygın dağılımı gibi görünmektedir.
Hafifletme
Bu yeni kötüverizasyon taktiğine karşı korunmak için kuruluşlar kurulumdan önce yazılım kaynaklarının sıkı bir şekilde doğrulanmasını uygulamalıdır.
Resmi satıcı depolarına karşı kod imzalarının ve sağlık toplamlarının doğrulanması, montajcıların kurcalanmamasını sağlamaya yardımcı olur.
Güvenlik ekipleri ayrıca, yazılım indirmelerini takiben, tanıdık olmayan alanlara veya IP adreslerine bağlantılar için DNS ve HTTP günlüklerini de izlemelidir.
Davranış tabanlı EDR çözümlerinin dağıtılması, normal kullanım kalıplarından sapan anormal PowerShell ve Script-Host etkinliklerini tespit edebilir.
GitHub’da açık kaynaklı projeleri sürdüren geliştiriciler, sarkan taahhütleri budama ve şube koruma kurallarını sağlayarak riski azaltabilir.
Depo meta verilerinin ve serbest bırakma varlıklarının düzenli denetimleri, istismar edilmeden önce yetkisiz değişiklikleri ortaya çıkarabilir.
Ayrıca, geliştirici hesapları arasında çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmesi, saldırganların ilk etapta depolara itme erişim şansını azaltır.
Koruma teknikleri gelişmeye devam ettikçe, platform sağlayıcıları ve güvenlik topluluğu arasındaki işbirliği kritiktir.
GitHub, altyapısının kötüye kullanılması hakkında bilgilendirildi ve sarkan taahhütler için görünürlüğü artırmaya çalışıyor.
Bu arada, güvenlik araştırmacıları kullanıcıları uyanık kalmaya, güvenilir depolarda bile beklenmedik güncelleme istemlerini sorgulamaya ve şüpheli etkinlikleri derhal bildirmeye çağırıyor.
Bu ortaya çıkan kampanya, yazılım tedarik zincirlerine sıfır tröst yaklaşımının öneminin altını çizmektedir.
Hiçbir şeyin doğası gereği güvenli olmadığını ve her bileşenin özgünlüğünü sürekli olarak doğrulayarak, kuruluşlar uzun süredir devam eden geliştirici iş akışlarından yararlanan yenilikçi tehditlere karşı daha iyi savunabilirler.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.