Tehdit aktörleri, meşru GitHub Masaüstü yükleyicisi kılığında kötü amaçlı yazılım dağıtmak için GitHub’un çatal mimarisindeki bir tasarım kusurundan başarıyla yararlandı.
Saldırı zinciri aldatıcı derecede basit ama etkili bir teknikle başlar. Saldırganlar, tek kullanımlık GitHub hesapları oluşturur ve resmi GitHub Masaüstü deposunu çatallar.
Daha sonra README dosyasındaki indirme bağlantısını, kötü niyetli yükleyicilerini işaret edecek şekilde değiştirirler ve değişikliği gerçekleştirirler.
En önemlisi, taahhüt karması, github.com/desktop/desktop/tree/ olarak görünen resmi havuzun ad alanı altında görüntülenebilir hale gelir.
Araştırma firması GMO Cybersecurity’nin Eylül 2025’ten bu yana aktif olarak takip ettiği saldırı, kötü amaçlı taahhütlerin resmi depo ad alanları altında görünmesini sağlamak ve kullanıcıları truva atı yazılımlarını indirmeye ikna etmek için “repo işgali” adı verilen bir teknikten yararlanıyor.
Bu davranış, kasıtlı olmasına ve GitHub’un güvenlik belgelerinde belgelenmesine rağmen önemli bir güvenlik açığı oluşturur.
Saldırgan çatalını veya hesabını silse bile, taahhüt karması depo ağında kalmaya devam eder ve bu da temizliği son derece zorlaştırır.
GitHub tasarımı, saldırganların resmi depo ad alanlarına yerleşmesine ve kötü amaçlı içerik eklemesine olanak tanır.
Tehdit aktörleri, kampanyanın erişim alanını genişletmek için arama motorlarında “GitHub Masaüstü”nü tanıtan sponsorlu reklamlardan yararlandı.
Reklamlar, GitHub’un güvenlik uyarılarını atlamak için README bağlantılarını kullanarak doğrudan kötü amaçlı taahhütlere bağlanıyor ve meşru aracı aktif olarak arayan geliştiricileri hedef alıyor.
HijackLoader Sağlayan Çok Kademeli Yükleyici
Kötü amaçlı yükleyici GitHubDesktopSetup-x64.exe (SHA256: e252bb114f5c…), gelişmiş çok aşamalı bir yükleyici olarak işlev gören 127,68 MB’lık tek dosyalı bir .NET uygulamasıdır.
Analiz, Mayıs 2025’e kadar uzanan ve Chrome, Notion, 1Password ve Bitwarden gibi diğer popüler uygulama adları altında gizlenen benzer örnekleri ortaya çıkarıyor.
Yükleyici çeşitli kaçınma teknikleri kullanır. En önemlisi, GPU tabanlı bir API olan OpenCL’yi (Açık Bilgi İşlem Dili), sanal alanlarda ve GPU sürücüleri olmayan sanal makinelerde dinamik analizi engellemek için kötüye kullanıyor.
Kötü amaçlı yazılım, şifre çözme anahtarlarının statik kurtarılmasını zorlaştıran kasıtlı kod yanlış yönlendirmesi uygulayarak güvenlik araştırmacılarını GPU’lu fiziksel makinelere analizi tamamlamaya zorluyor.
İlginç bir şekilde, GMO Siber Güvenlik, OpenCL uygulamasının kasıtlı hatalar içerdiğini, argümanların referans yerine değere göre iletildiğini ve bunun çekirdek yürütmenin başarısız olmasına neden olduğunu keşfetti.
8 baytlık paket başlık ofseti şu şekilde ayarlanmıştır: 0x7FAB159Bu da bunun tek dosyalı bir uygulama olduğunu doğruluyor. Bu paket başlık ofseti ve imzası, YARA ile ilgili örnekleri aramak için diğer tanımlayıcılarla birleştirilebilir.
Bu akıllı teknik, tersine mühendisliğe karşı yenilikçi bir savunma mekanizmasını temsil eden, hem dinamik hem de statik analiz yaklaşımlarını raydan çıkaran tamamen sıfır bir şifre çözme anahtarı üretir.
Yük Teslimatı ve Kalıcılığı
Kötü amaçlı yazılım yürütüldükten sonra meşru imzalı ikili dosyalar (Control-Binary32.exe, Qt5Network.dll, Qt5Core.dll) ve kötü amaçlı yükleri içeren şifrelenmiş arşivleri indirir.
Birinci, clGetPlatformIDs Ve clGetDeviceIDs gibi cihaz dizelerini döndürmeyin GeForce RTX 4090.
Bu enfeksiyon, daha önce LummaC2 hırsızı ve diğer emtia kötü amaçlı yazılımlarını dağıtırken gözlemlenen bilinen bir yükleyici olan HijackLoader’ı çalıştırmak için vssapi.dll dosyasına kabuk kodu enjekte ederek DLL yan yükleme ve modül durdurma tekniklerinden yararlanıyor.
Kalıcılık, kullanıcılar oturum açtığında yürütülen “WinSvcUpd” adlı zamanlanmış bir görev aracılığıyla sağlanır.
PowerShell aşamalandırıcı, AppData, LocalAppData ve ProgramData dizinleri için Microsoft Defender dışlamaları ekleyerek sonraki yüklerin algılanmadan yürütülmesine olanak tanır.
Kampanya en çok Eylül ve Ekim 2025 arasında aktifti, ancak GitHub 9 Eylül 2025’te bu güvenlik açığının farkına varıldığını doğruladı.
29 Aralık 2025 itibarıyla teknik tekrarlanabilir durumda kaldı. Kötü amaçlı reklamcılık yoluyla Avrupalı kullanıcılara odaklanılırken, Japonya ve diğer bölgelerde de enfeksiyonlar meydana geldi.
GDO Siber Güvenlik, yükleyicilerin yalnızca resmi Sürüm sayfalarından indirilmesini ve sponsorlu arama reklamları konusunda son derece dikkatli olunmasını önerir.
Kampanya, geliştiriciyi hedefleyen saldırıların karmaşık kötü amaçlı yazılımları dağıtmak için güvenilir platformlardan nasıl yararlandığının altını çiziyor ve modern tehdit ortamlarında tedarik zinciri güvenliğinin kritik önemini vurguluyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.