GitHub’da yaklaşık yarım düzine sahte hesap keşfedildi ve birkaçı Twitter’da bulundu. Hepsi ünlü güvenlik araştırmacılarının vesikalık fotoğraflarını kullandı ve sıfırıncı gün istismarlarına ev sahipliği yaptı.
Hedef, GitHub kadar yüksek profilli ve yaygın olarak kullanılıyorsa, tedarik zinciri saldırıları oldukça yıkıcı olabilir. VulnCheck’teki siber güvenlik araştırmacıları, GitHub ve Twitter’ı hedef alan bir tedarik zinciri saldırısı keşfettiler.
Raporlarına göre, GitHub ve Twitter’daki birden fazla hesap, popüler yazılımlardaki sıfırıncı gün açıkları için PoC (kavram kanıtı) açıklarını dağıttığını iddia ediyor. Ancak bunlar sahte hesaplardır ve PoC’ler kötü amaçlı yazılım dağıtır.
Kampanya Keşfi
VulnCheck, bu kampanyayı Mayıs 2023’te, yazarının Signal uygulaması için sıfır gün olduğunu iddia ettiği bir GitHub deposu barındırma kodunu kontrol ettiğinde keşfetti. Ertesi gün, WhatsApp sıfır gün sunan başka bir hesap keşfettiler.
Araştırmacılar, Mayıs 2023 boyunca tümü Google Chrome, Signal, Microsoft Exchange Server ve Discord gibi uygulamalar için sıfır gün açıkları sunan sahte hesaplar bulmaya devam etti. Mayıs ayının sonlarında, araştırmacılar Twitter’da benzer hesaplarla karşılaştı.
GitHub’da yaklaşık yarım düzine sahte hesap keşfedildi ve birkaçı Twitter’da bulundu. Hepsi ünlü güvenlik araştırmacılarının vesikalık fotoğraflarını kullandı ve sıfırıncı gün istismarlarına ev sahipliği yaptı.
GitHub, Twitter’daki Sahte Hesaplara Dikkat Edin
VulnCheck’e göre, kimliği belirsiz tehdit grupları, GitHub ve Twitter’da siber güvenlik araştırmacılarıyla ilişkili gibi görünen sahte hesaplardan oluşan bir ağ oluşturdu. Bu hesaplar için güvenilirlik oluşturmak amacıyla, tehdit aktörleri gerçek güvenlik araştırmacılarının profil resimlerini kullandılar.
Araştırmacılar, bu sahte depoların High Sierra Cyber Security adlı var olmayan bir firmanın parçası olarak tanıtıldığını belirtti. Her hesapta bir vesikalık fotoğraf, Twitter tanıtıcısı, ilişkili kuruluş, takipçiler, şirketin web sitesine bir bağlantı ve gizli, kötü amaçlı bir havuz bulunur.
Sahte Hesapların Arkasındaki Kötü Niyetler
Bu sahte hesaplar, kötü amaçlı bir ikili programın indirilip cihazda yürütüldüğü bir Python betiği dağıtır. Kötü amaçlı yazılımın hem Windows hem de Linux tabanlı sistemlerde çalışabileceğini belirtmekte fayda var. GitHub hesapları askıya alındı, ancak Twitter hesapları çevrimiçi olmaya devam ediyor.
Tehlikeler nelerdir?
Araştırmacılar, bu tedarik zinciri saldırısının çok ayrıntılı olduğuna ve ciddi sonuçlara yol açabileceğine inanıyor. SolarWinds saldırısı, birçok kamu ve özel sektör kurumunu etkileyen ve büyük hasara neden olan en yıkıcı tedarik zinciri saldırılarından biridir. Bu saldırıdan kötü amaçlı yazılım bulaşmış bir yazılım sorumluydu.
GitHub’ın dünyanın en büyük açık kaynak kod deposu olduğu düşünüldüğünde, bu özel tedarik zinciri saldırısının sonuçları çok daha şiddetli olabilir. Bir havuza kötü amaçlı kod enjekte etmek veya onu tehlikeye atmak, sayısız uç nokta tarafından kullanılan çeşitli yazılımları etkileyebilir. Saldırganlar, hassas verileri çalmak, kimlik hırsızlığı gerçekleştirmek veya fidye yazılımı saldırıları ve telsiz dolandırıcılığı başlatmak için kötü amaçlı yazılım dağıtabilir.
Araştırmacılar bunun bir deney mi yoksa bir kampanya mı olduğu konusunda net değiller. Yine de, kod çalıştırmak için güvenilmeyen kaynaklara erişirken dikkatli olmak önemlidir. Sahte hesapların tam listesine buradan göz atın.
İLGİLİ MAKALELER
- Twitter’ın özel kaynak kodunun bir kısmı GitHub’a sızdırıldı
- Sahte GitHub depoları oluşturmak için sahte meta veriler işleyin
- SolarWinds Bilgisayar Korsanları İstismar Sonrası Arka Kapı ‘MagicWeb’i Kullanıyor