Son haftalarda, siber güvenlik ekipleri meşru güvenlik ve finansal yazılım olarak maskelenen kötü amaçlı GitHub depolarında bir artış gözlemlediler.
Tehdit aktörleri, Malwarebytes, LastPass, Citibank ve Sentinelone gibi isimler taşıyan, gizli kötü amaçlı yazılım yükleri sağlayan truva atıkları ve senaryolarla doldurulmuş ikna edici projeler hazırladı.
Bu depolar, geliştiricilerin açık kaynaklı platformlarda yer aldığı güven, kullanıcıları görünüşte iyi huylu kodlar yürütmeye teşvik eder. İlk göstergeler, kampanyanın Ağustos 2025’in sonlarında başladığını ve GitHub’ın trend ve arama özellikleri ile hızla çoğaldığını gösteriyor.
.webp)
Saldırganlar, klonlanmış logolar, ReadMe dosyaları ve sürüm notları ile birlikte resmi satıcı kimliklerini taklit eden hesapları kaydeder.
Şüphesiz kullanıcılar bu depoları klonladığında veya indirirken, derleme komut dosyaları, uzaktan komut ve kontrol (C2) sunucularından yükleri alan gizli bir PowerShell indiricisini çağırır.
Malwarebebytes araştırmacıları, kum havuzu yapı ortamlarından ortaya çıkan anormal ağ bağlantılarını fark ettikten sonra kötü amaçlı yazılımları belirlediler ve altta yatan saldırı zincirini maskeleyen bir soruşturmayı tetiklediler.
İlk analiz, bir kez yürütüldüğünde, damlalıkların işe gittiğini ortaya koyar: gömülü kabuk kodunu şifresini çözer, askıya alınmış bir sürece enjekte eder ve kayıt defteri çalıştırma anahtarları yoluyla kalıcılık oluşturur.
Mağdurlar görünür uyarılar veya kurulum hataları yaşamarken, kötü amaçlı yazılımlar ikincil modülleri dağıtmadan önce sistem bilgilerini ve kimlik bilgilerini gizlice toplar.
Etki iki yönlüdür: Kuruluşlar veri açığa vurma riskleri yaşarken, bireysel kullanıcılar kimlik hırsızlığı ve potansiyel hesap devralma ile karşı karşıya.
Doğrudan finansal ve itibar hasarının ötesinde, bu kampanya yeni bir saldırı vektörünün altını çiziyor: açık kaynak işbirliği platformlarını silahlandırma.
Güvenlik ekipleri, şüpheli komut dosyalarını ve uzaktan indirmeleri işaretlemek için otomatik tarama araçlarını CI/CD boru hatlarına dahil ederek kod menşe ve bütünlüğünün incelemesini artırmalıdır.
.webp)
Saldırganların GitHub’da satıcı kimliklerini çoğaltma kolaylığı, geliştirici toplulukları arasında daha güçlü doğrulama önlemlerine duyulan ihtiyacı vurgulamaktadır.
Enfeksiyon mekanizması
Bu kampanyanın merkezinde sofistike bir Powershell tabanlı enfeksiyon mekanizması yatıyor.
Kötü niyetli depoyu klonladıktan sonra, kullanıcılara adlı bir yapı komut dosyası yürütmeleri talimatı verilir. install.ps1rutin kurulum görevlerini gerçekleştiriyor gibi görünüyor.
Gerçekte, komut dosyası, bir Base64 yükünü kodunu çözen gizlenmiş bir blok içerir:-
$enc="JABXAG8AbgBlAAD..."
$bytes = [Convert]::FromBase64String($enc)
$asm = [System.Reflection.Assembly]::Load($bytes)
$entry = $asm.EntryPoint
$entry. Invoke($null, (,@()))Yüklendikten sonra, bu bellek içi montaj (Silentrunner Loader’ın bir çeşidi) meşru pencereler süreçlerini arar- svchost.exe— Ve tespitten kaçınmak için işlem oyuğu gerçekleştirir.
İçi boş işlem daha sonra bir kayıt defteri anahtarından kalıcılığı kaydeden ana yükü başlatır:
New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "Windows Defender Update" -Value "$env:APPDATA\msupd.exe"Bu dizi boyunca, ağ göstergeleri HTTPS isteklerini içerir. hxxps://secure-update-server[.]com/manifest.json ve müteakip direkler ekleme ortam değişkenleri.
Yükleyicinin operasyonlarının kısalığı ve gizliliği, kampanyanın, açık kaynak platformlarında kod yürütme istismarlarının gelişen karmaşıklığını gösteren minimum adli artefaktlarla sistemleri enfekte etmesine izin verir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
