Güvenlik araştırmacıları GitHub’a yönelik, 100.000’den fazla veri deposunu ve potansiyel olarak milyonlarca daha fazlasını etkileyen büyük bir veri havuzu karışıklığı saldırıları kampanyasını ortaya çıkardı.
Bu karmaşık siber saldırı, geliştiricileri meşru gibi görünen kötü amaçlı depoları indirmeleri ve kullanmaları için kandırarak hedef alıyor.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanı ve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Repo Karışıklık Saldırıları Nasıl Çalışır?
Repo kafa karışıklığı saldırıları, bağımlılık kafa karışıklığı saldırılarına benzer ancak paket yöneticisi sistemlerinden ziyade insan hatasından yararlanır.
Saldırganlar popüler depoları klonluyor, onlara kötü amaçlı yazılım enjekte ediyor ve ardından bunları aynı adlarla GitHub’a geri yüklüyor.
Bu depolar, görünürlüğünü ve geliştiriciler tarafından yanlışlıkla kullanılma olasılığını artırmak için otomatik olarak binlerce kez forklanır ve çeşitli çevrimiçi platformlarda tanıtılır.
Kötü Amaçlı Yük
Geliştiriciler bu kötü amaçlı depoları kullandığında, kötü amaçlı yazılım, yedi katmanlı gizlemeyi içeren karmaşık bir paket açma işlemi yürütür.
Sonuçta, oturum açma kimlik bilgileri, tarayıcı parolaları ve çerezler gibi hassas bilgileri çalmak için tasarlanmış kötü amaçlı bir kod olan BlackCap-Grabber’ın değiştirilmiş bir sürümünü dağıtır. Bu veriler, daha sonraki kötü amaçlı faaliyetler için saldırganların komuta ve kontrol sunucularına iletilir.
GitHub’un otomatik sistemleri çatallanmış depoların çoğunu kaldırabilse de, saldırının büyüklüğü önemli sayıda deponun kaldığı anlamına geliyor.
Platformun güvenlik ekipleri bu kötü amaçlı depoları tespit etmek ve kaldırmak için aktif olarak çalışıyor ancak kampanyanın kapsamı ve saldırının inceliği bunu zorlu bir görev haline getiriyor.
Kötü Amaçlı Yazılım Kampanyalarının Gelişimi
Bu kampanya, paket yöneticilerinden GitHub gibi kaynak kodu yönetimi (SCM) platformlarına geçiş yapan siber saldırganlar için stratejide bir değişime işaret ediyor.
GitHub’da hesap ve depo oluşturma kolaylığı, geniş boyutuyla birleştiğinde, onu yazılım tedarik zincirine gizlice sızmak isteyenler için cazip bir hedef haline getiriyor.
Repo Karışıklığına Karşı Koruma
Bu saldırılarla mücadele etmek için GitHub’a bilgi verildi ve kötü amaçlı depoların çoğu silindi. Ancak kampanya devam ediyor ve yazılım tedarik zincirine yönelik tehdit hâlâ önemini koruyor.
Apiiro, kod tabanlarını izleyen ve bu tür saldırıları tanımlamak ve önlemek için derin kod analizi ve kod gizleme gibi gelişmiş teknikleri kullanan bir kötü amaçlı kod algılama sistemi geliştirdi.
Bu büyük ölçekli repo karmaşası kampanyasının keşfi, yazılım tedarik zincirinde devam eden güvenlik açıklarına dikkat çekiyor.
Geliştiricilerin ve kuruluşların bu karmaşık saldırılara karşı dikkatli olmaları ve gelişmiş güvenlik önlemleri almaları gerekiyor.
Güvenlik topluluğu, sürekli gelişen bu tehditlere karşı koruma sağlamak için yeni stratejiler uyarlamaya ve geliştirmeye devam ediyor
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.