Güvenlik firması Apiiro’nun yakın tarihli bir raporu, bir “repo kafa karışıklığı” saldırısının GitHub’daki 100.000’den fazla depoyu tehlikeye attığını ortaya çıkardı.
Bu tür saldırılar, GitHub tarafından kullanılan sürüm kontrol sistemi Git’in depo adlarını işleme biçimindeki bir kusurdan yararlanmayı içerir ve meşru depolara kötü amaçlı kodların enjekte edilmesine yol açabilir.
Bu, bu tür saldırıları önlemek ve GitHub’da depolanan kodun bütünlüğünü korumak için geliştirilmiş güvenlik önlemlerine olan ihtiyacın altını çiziyor.
Bu saldırı tekniği, hazırlıksız geliştiricilere saldırılar başlatmak için GitHub platformunun geniş ölçeğinden ve korumasız erişilebilirliğinden yararlanır.
O nasıl çalışır?
- Popüler Repoları Klonlamak: Saldırganlar TwitterFollowBot, WhatsappBOT vb. gibi popüler depoları hedef alıyor ve bunların kopyalarını oluşturuyor.
- Kötü Amaçlı Yazılım Ekleme: Bu kopyalara, oturum açma kimlik bilgilerini, tarayıcı verilerini ve diğer hassas bilgileri çalmak üzere tasarlanmış kötü amaçlı yazılımlar bulaşmıştır.
- GitHub’a yükleme: Etkilenen depolar aynı adlarla GitHub’a geri yükleniyor ve hiçbir şeyden şüphelenmeyen geliştiricilerin bunları yanlışlıkla seçeceği umuluyor.
- Aldatmanın Yayılması: Saldırganlar, bu kötü amaçlı depoların binlerce çatalını (kopyasını) oluşturmak ve bunları geliştiricilerin uğrak yeri olan çevrimiçi forumlar ve platformlar aracılığıyla tanıtmak için otomasyonu kullanıyor
Kusurlu depoların kullanılması üzerine, şüphelenmeyen geliştiriciler yanlışlıkla yedi şaşırtma katmanından oluşan gizli bir yükü açar.
Bu süreç, kötü amaçlı Python kodunun ve yürütülebilir bir ikili dosyanın, özellikle de BlackCap-Grabber’ın değiştirilmiş bir sürümünün çıkarılmasını içerir.
Kötü niyetli kod, çeşitli uygulamalardan oturum açma kimlik bilgileri gibi hassas bilgileri, şifreler ve çerezler gibi tarayıcıyla ilgili verileri ve diğer gizli bilgileri toplamak için tasarlanmıştır.
Daha sonra toplanan tüm verileri saldırganların komuta ve kontrol sunucusuna iletir. Bu, bir dizi ek kötü amaçlı aktiviteyi tetikler.
Saldırının Kapsamı
Apiiro’nun araştırmasına göre 2023’ün ortalarında başlayan saldırı kampanyası, son aylarda ivme kazanıyor.
Virüs bulaşmış depoların doğrulanmış sayısı 100.000’i aştı ve gerçek sayının milyonlarca olma ihtimali var.
- Mayıs 2023: Mevcut yükün bölümlerini içeren kötü amaçlı paketler PyPI’de (Python Paket Dizini) görünüyor.
- Temmuz – Ağustos 2023: Saldırganlar, PyPI kötü amaçlı paketleri kaldırdıktan sonra virüslü depoları doğrudan GitHub’a yüklemeye yöneldi.
- Kasım 2023 – Günümüz: 100.000’den fazla virüslü depo tespit edildi ve sayı sürekli artıyor.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan